«СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Сегодня 12.07.2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.
Мне периодически поступают подобные звонки от "СберБанка". Было свободное время, и я начал диалог с " младшим специалистом". История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на "старшего специалиста" и он поможет вернуть деньги и разблокировать карты.
Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю "сотрудника банка" и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть "зарплатная" карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.
Данная информация ввела меня в недоумение, т.к. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: "Мы не знаем как это возможно, банк не передает информацию о счетах". Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.
Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. к. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т.к. он был "занят". Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.
Мне заявляли что мошенник мог "просто угадать" остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?
Через час на заявку приходит ответ:
[12.07.2021 в 20:07] Ваше обращение рассмотрено АЛЕКСАНДР ОЛЕГОВИЧ, ваше обращение 210712-0744-468600 от 12.07.2021 рассмотрено. Благодарим за сообщение о подозрительном звонке. Банк внимательно изучает подобные случаи мошеннических действий. Рекомендуем не терять бдительность и НИКОМУ не сообщать полные данные карт и одноразовые пароли. Банк никогда не просит совершать перевод средств. Меры безопасности при использовании банковских продуктов и услуг размещены на сайте банка в разделе «Ваша безопасность». Ознакомиться с полным текстом ответа вы можете в мобильном приложении Сбербанк Онлайн https://sberbank.ru/sms/ob. Сбербанк
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.
Ответ от Сбера через 20 часов после 1 обращения:
Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно?
Добавлю в пост.
Гениально!
Плюс в карму сберовскому постановщику задач, группе тестирования и службе безопасности, согласовавшей эту реализацию.
Я тебе умный вещь скажу... но только ты не обижайся. (с)
Безопасники я уверен этот риск описали и даже его реализацию. а вот дальше бизнес принял этот риск и сказал "а пофиг", денег заработаем и на уровне Банка просто этот риск приняли.
О деньгах клиентов (их собственных, по крайней мере) банки не сильно парятся, это же не их деньги.
А вот если бы увели деньги с кредиток (именно поэтому я всегда за границей расплачиваюсь кредиткой и лишь потом с дебетовой гашу долг), то банку уже потребовалось идти в суд, чтобы вернуть ЕГО деньги, так как вы утверждаете, что их не тратили
Вряд-ли безопасники вообще про подмену номера вспомнили. Там пионЭры, скорее всего, на проекте сидят. Окончившие курсы "компьютерная безопасность".
И да, без санкции безопасников ни в одной крупной конторе проект в разработку не попадает. И никто их "нагибать" не будет: сомнительное удобство для клиента (напомнить ему номера своих карт и остатки по ним, практически без аутентификации) против возможных исков о разглашении банковской тайны.
у них работа такая, именно они отвечают за утечку средств клиентов. виноваты не они, они эти риски обязательно подсветят.
Вы описали ситуацию с кредиткой в идеальном мире.
По факту будет так: вы не платите, вам звонят из отдела «мирного урегулирования» (soft collection), вы пытаетесь что-то объяснить, ссылаясь на то, что ничего не тратили. Спустя время долг уходит более твердолобым коллекторам, которые про «я не тратил» слышат ежедневно и продолжают вас давить. Попутно начинаются звонки на работу, родственникам и всем, до кого дотянутся.
Вы идёте в суд, всё это время коллекторы продолжают звонить, доводы про судебное дело их не волнуют, по той же причине, что и «я не тратил». Пока дело рассматривается, вам ещё успевают заморозить счета (возможно и в других банках) — иски против должников у всех банков поставлены на поток, судья даже не прочитает дело и все подпишет — вероятно все это произойдёт быстрее, чем в суде дойдут до рассмотрения вашего изначального иска. Параллельно коллекторы будут продолжать звонить всем друзьям и знакомым.
Далее ваше дело наконец разберут, долг аннулируют, за моральный вред присудят 10 тыс. рублей. Инфа о снятии долга будет идти до коллекторов еще несколько месяцев, счета в других банках будут разблокировать так же долго, потому что копия решения суда их не будет интересовать, они будут ждать отмашки от приставов, которые совсем не спешат.
Ну и прибавим ещё месяц-два на то, чтобы вернуть кредитную историю в норм состояние — огромный банк типа сбера со своей бюрократией будет заниматься этим крайне медленно, пользы от этого всего для него нет.
Получается парадокс: деньги вроде бы банка, вашей вины вообще нет, а доказывать это, тратить нервы и силы все равно будете вы, причём в судах будут изначально не на вашей стороне, т.к. там тоже ежедневно десятки должников. И не дай бог оставить что-то на самотёк (вы ведь не виноваты) — замучаетесь потом разгребать.
Справедливо? Не очень, но вот так у нас всё работает, нравится это людям или нет. Меньше проблем будет, если любые (даже чужие) долги оплатить, параллельно ходя по судам и требуя возвратов всех платежей с процентами. Это беспредел и максимальное унижение — но, увы, сбер это сбер, их система вас либо сожрет, либо сожрет. Быстро и порядочно разобраться в ситуации без массовой огласки — вообще не про них.
|По факту будет так: вы не платите, вам звонят из отдела «мирного урегулирования» (soft collection), вы пытаетесь что-то объяснить, ссылаясь на то, что ничего не тратили. Спустя время долг уходит более твердолобым коллекторам,
это немного не так работает. Ваш долг никому не передадут, если вы напишите заявление в полицию, так как он помечается как оспариваемый и является уголовной уликой по сути.
Все остальное можно уже не смотреть
Я тебя разочарую, дыру с регистрацией с дубликата симки за пять лет так и не закрыли. Заявку закрыли с комментарием "невозможно повторить"
У меня был момент когда данные прямо из всп об обменной операции улетели мошенникам уже через час после ее проведения.
Хм, вы говорите о сервисе проверки IMSI перед отправкой смс с ОТП-кодом? Все уважающие своих клиентов банки уже давно внедрили эту фичу. Если симка заменена - вы не получите смс, пока сами не подтвердите факт смены сим карты через отделение с паспортом.
Это я знаю, это не сильно мешает