Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Вы 161-фз вообще читали? Если операция совершена не вами и вы никаких кодов никому точно не говорили - то пишите заявление в банк указываете что в соответствии с п.11 ст.9 161-фз обращались к ним незамедлительно после обнаружения факта использования средствп электронного платежа без вашего согласия, что было не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. В соответствии с пунктом 12 ст. 161-фз После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Есть ли конкретные примеры, когда в подобной ситуации банк вернул деньги?
Дело в том, что в случае, описанном автором, любой банк без труда покажет, когда и с каких IP-адресов были сеансы доступа в личный кабинет и сформированы коды для снятия наличных. Поскольку клиент был аутентифицирован, все эти операции придется признать совершенными им лично, и далее спорить уже будет не о чем.
(да, и клиент тут в комментариях, кстати, признает что выдал "какие-то" данные мошенникам, так что советовать ему писать заявление о возврате средств не слишком... продуктивно).
Ключевой момент, что всю доказательную базу формировать будет сам банк.
Простите, не могу понять, о чем вы. У банка есть подробные логи и IP-адреса, которые можно сопоставить с данными провайдера (это через официальный запрос от органов). У вас - долгий разговор с мошенниками, в ходе которого вы им что-то сообщали. Тут, видите, не слишком выигрышное положение.
банк должен доказать что вы авторизовали операцию, либо это у них дыра. до преведения операции банк еще и должен уведомить что конкретно вы авторизуете, а не просто "код 1234". у банка есть для этого ресурсы - все логи, своя служба безопасности, большие договора и постоянное взаимодействие с операторами связт, взаимодействие с цб для определения что куда переведено. у пользователя всех этих ресурсов нет - отправлять его самого искать куда перевелись деньги абсолютно некорректно. Если бы однозначная публичная позиция ЦБ - возвращать все платежи (все операции по переводу - отменимы, а по снятию наличных - легко установить лиц кто снимал и взыскать с них), то случаев мошенничества было бы минимальное количество - гайки на авторизации операций, на проверке клиентов бы подкрутили и все.
Если операция была проведена через личный кабинет, любой банк легко покажет подробные логи, когда того потребует официальное разбирательство.
Но здесь может быть и другой сценарий. Давайте просто представим, что автор статьи передал мошенникам любые данные (секретные), которые потребовались им, чтобы восстановить доступ в личный кабинет и зайти в него. Естественно, все это тоже протоколируется. Какие претензии к банку остались бы в таком случае?
Ну и традиционный вопрос: вы мне что-то продали, я вам перевел деньги, потом пошел в банк и отменил операцию. Как вам быть в таком случае?
Какие именно, по вашему мнению, нужны секретные данные , чтобы восстановить доступ в кабинет Тинькова?
Насколько мне известно, без смс-кода доступ в личный кабинет Тинькова восстановить невозможно.
А чтобы сменить телефон необходимо ответить на вопросы живому специалисту Тинькова по телефону. И какие именно заранее неизвестно - они специально каждый раз запрашивают разные данные, и вообще у них там достаточно хитро все сделано.
Вы сами пробовали хоть раз менять свой номер телефона в Тинькове? И восстанавливать доступ к личному кабинету?
У разных банков набор этих контрольных вопросов разный, и при разных обращениях одного и того же клиента он тоже будет разный. В таких случаях, кстати, мошенник может держать жертву на линии, чтобы узнавать у него ответы на эти вопросы, которые банк ему задает по другой линии. Но в принципе, если вас интересует процедура у Тинькова, посмотрите здесь, например - там есть ответ представителей банка в комментариях: https://vc.ru/claim/278740-tinkoff-peredal-dostup-v-lichnyy-kabinet-banka-moshennikam-a-posle-krazhi-sredstv-vstal-na-ih-storonu
В данной теме Тиньков опять вводит клиента в заблуждение, утверждая, что решение вопроса возможно только через полицию и опять предлагает клиенту туда обратиться. И крутится как уж на сковородке по поводу получения доступа в личный кабинет.
Я опять не увидел ни слова про ответственность самого банка в рамках 161-ФЗ и то, что установить, несет ли банк ответственность или нет, и возвратить денежные средства по несанкционированным операциям может только суд, а не полиция.
@Искатель, всегда с удовольствием читаю Ваши комментарии. Но тут, к.м.к., Вы не правы.
Судя по всему, скомпрометирован телефон. Если бы был только комп - все равно нужна смс для входа. Т.е. имеем мошенничество плюс неправомерный доступ к информации. Оба этих вопроса не являются предметом частного обвинения. Т.е. без полиции - никак.
Вот только она вряд ли что выяснит. Уж очень это сложно.
Спасибо)
Представьте, что я на месте автора. Со мной пообщались неизвестные лица, и у меня пропали со счета деньги. И Я не знаю, что именно и где скомпрометировано.
Я только знаю, что я не нарушал условий договора с банком, а банк нарушил, так как были списаны средства без моего согласия и распоряжения.
И я предъявляю требования именно к банку в связи с некачественной финансовой услугой и прошу возместить суммы по операциям без моего согласия согласно 161-ФЗ.
И именно банк должен доказать, что это именно я формировал распоряжения, именно я их подписывал аналогом подписи, именно я давал согласие на операции, а также что банк уведомлял меня и что я нарушил правила пользования ЭСП.
Всю ветку прочитал, и согласен, что так должно быть. Но было так хоть раз? Вот что интересно, а не теория, как должно быть.
Если было - дай ссылки на подобные дела, чего юлить и теоретизировать?
Скажите пожалуйста, вам так же как и Трейл Соулу религия не позволяет самому зайти в ГАС Правосудие и посмотреть там судебную практику. Почему другие люди должны тратить время и делать это за вас, когда это интересно именно вам?
Вот, смотрите, апелляция подтвердила решение первой инстанции против ВТБ:
https://pastebin.com/6TPwgLkx
Ээээ, там сложно :( Наверняка где-то в договоре есть пункт о том, что клиент сам должен обеспечивать сохранность данных.
В договоре может быть много разных пунктов о том, кто что должен и не должен. Вопрос в том, какие из данных пунктов являются законными и действительными, а какие являются незаконными и недействительными?
В целом, да, Но в требовании банков обязать клиента самостоятельно обеспечивать сохранность своих авторизационных данных нет ничего незаконного и недействительного. Более того, даже нелогичного нет.
Так автор нигде и не сообщал свои смс-коды и пин-код.
Кроме того, банк тоже должен обеспечивать сохранность данных клиента и наверняка это также прописано в договоре.
То-то и оно, что мы не знаем. 40 минут разговора были о чем? 9-ю симфонию Бетховена слушал?
Я сам не раз подолгу общался с мошенниками) Чтобы лучше понять их схемы. Бывало тоже и по полтора часа. Они там самое разное могут говорить и спрашивать) Можете на ютуб зайти - там куча подобных аудиозаписей. Некоторые даже каналы посвящают общению с мошенниками)
Так и я пару раз общался :) Правда, минут по 10.
Начало стандартное.
- Денис Анатольевич? (имеют инфу, суки!)
- Допустим.
- У вас карта сбербанка (уже кучу лет как нет, но почему бы не позабавиться, если время есть).
Потом развод на информацию (даю от балды, естественно), а в заключение вопрос с моей стороны
- А что, макароны сегодня на ужин хорошо сварились?
Сразу краткий мат и отбой :)
А схемы их понимать толку нет. Ибо там нечего понимать. Стандартный дешевый развод.
У меня по-разному бывало) Вы можете почитать истории и жалобы в интернете - там все-таки немало разных сценариев бывает.
Нет, ему не обязательно доказывать, что это были вы. Ему всего лишь нужно показать , что авторизовали и верифицировали вас в соответствии с условиями удбо. А дальше ваша ответственность по по сохранению конфиденциальности этих данных.
Закон, конечно, можно трактовать по-разному, но в данном случае в законе все указано предельно четко и ясно.
"В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица."
Главное здесь именно согласие клиента. Если, например, банк сначала незаконно допустил третьих лиц в личный кабинет клиента из-за дыр в безопасности или технического сбоя и те изменили способ подтверждения операций, то дальше уже неважно, что распоряжения и подтверждения приходили якобы от имени клиента.
И именно банк должен доказывать, что это клиент нарушил порядок использования ЭСП, что повлекло совершение операции без согласия клиента, а не в самом банке произошла утечка данных, технический сбой, халатность или недобросовестность работников банка.
Вы не обратили внимания на то, что, по тексту автора, он в течение 80 минут разговаривал с мошенниками и передал им какую-то информацию, точный состав которой предпочел скрыть? Правда, он отмечает, что СМС он не передавал, но можно достаточно уверенно предположить, что это была информация, которая позволила мошеннику дистанционно выдать себя за него. Если так, то зачем делать такие сложные вещи - компрометировать телефон, перехватывать СМС?
Автора, он сам об этом пишет, могли именно "удерживать" на линии банально с целью отвлечения и недопущения с его стороны защитных действий и обращения в банк, пока мошенники, возможно вместе с недобросовестными работниками банка, совершали мошеннические действия с личным кабинетом автора.
Посмотрите хронологию:)) 40 минут разговора, сообщение о снятии 145 тысяч, мошенник уверяет, что все в порядке, и еще 40 минут разговора. Читайте! Читайте же это в тексте автора.
Так у него еще деньги остались, поэтому и продолжили удерживать автора на линии дальше. И в конце произошло еще несколько операций снятия. А потом решили взяться за кредитку и автор наконец сорвался с крючка.