Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Что-то история очень подозрительна. Автор уверяет нас, что никаких данных мошенникам не сообщал. Прошу прощения, но не верю. Если бы им не были нужны данные от вас, они бы вам даже не позвонили. Значит вывод один - нужные им данные вы им все же сообщили, потому что иначе они бы даже qr-код не смогли выпустить. Каким-то образом они попали в ЛК. Следовательно, получили доступ к логину и паролю, к СМС. Каким образом они это сделали - это вопрос непосредственно к автору: откуда утёк пароль и как узнали код из сообщения? Вопросы безопасности хранения паролей и кодов - ответственность клиента банка. Да и разговаривать с мошенниками минут 40 - это что-то. Да ещё и заподозрить, что что-то не так, только после третьего снятия средств с карты? Вы это серьезно?! Автор явно не договаривает или намеренно обманывает, чтобы вернуть себе за счет банка деньги, которые сам же и профукал.
В комментариях неоднократно встречается наиболее вероятная версия, которую стоит проговорить еще раз. Мошенник, связавшись с клиентом, собирает у него набор данных, которые являются ответами на часто встречающиеся контрольные вопросы для идентификации человека по телефону. В том числе кодовое слово, которое человек указывал при заключении договора с банком. Затем они совершают звонок в банк и "восстанавливают" доступ в личный кабинет, имея возможность правильно ответить на все контрольные вопросы. Эти процессы могут идти параллельно. Автор статьи указывает, что передавал мошенникам "какую-то" информацию, но какую именно - предпочитает не рассказывать.
У меня была другая история в Альфа-банке. Никаких звонков, ничего, только код о входе в приложение, которое даже я не увидел, пока не обокрали. А результат тот же - с интервалами в 1 минуту списали 10 платежей и банк все пропустил. Хотя видел, что деньги переводят из другого региона и другим устройством. И ни одного уведомления, ничего. Может вы уже начнете по существу обсуждать, как защитить клиентов. Завтра это случится с вами и вот тогда вы увидите, что клиенты в России вообще не защищены. В законах целенаправленные дыры, чтобы банки уходили от ответственности.
Вы считаете, что в законах есть специально устроенные дыры, чтобы банки уходили от ответственности? То есть банкам выгодно, чтобы со счетов клиентов воровали деньги? Можете ли более подробно описать, какие дыры вы видите?
Я написал ниже
В законе даже нет четкого способа уведомления. Хочешь пушами, которые всплывают и исчезают и для которых не нужна привязка к номеру, а только к устройству. То есть подключил тел через вай-фай вошёл в мобайл приложение жертвы, переподключил пуши - и грабь. И так и делают и ты потом в суде не докажешь, что это не ты переводил и что ты эти пуши не получал. В крайнем случае банк покажет поддельные документы, что все сделано тобой. Банки каждый день отбивают иски клиентов. В среднем требуется 3 заседания. Первое рассмотрительное, на втором будет решение и потом банк подаст апелляцию и будет третье. То есть это на год минимум. А если бы были четкие защитные нормы в законах, то банки бы сами и защиту сделали и все бы сразу стало по-другому. Если бы ответственность действительно лежала на банках.
А как войти в мобайл-приложение жертвы?
Я до сих пор не знаю как вошли в мое, если только сам банк не замешан. Не знают этого и другие люди, у которых все было сделано точно также. Но даже зайти в приложение это еще не украсть. А вот как было сделано 10 переводов на сумму 19999. Спам сумма с интервалом 1 минута. Без подтверждения мною. Если бы было четко в законе указан способ уведомления и я мог доказать, что я не подтверждал. Но я не могу этого сделать против слов банка. И все - все мы по закону заранее виновны
Вашу конкретную ситуацию можно обсуждать отдельно, если вы где-то писали о ней. Наверняка у вас было разбирательство с банком. Но вы должны понимать, что обвинение в сторону банка - это достаточно типичная реакция. Это будет делать даже человек, который сам передал все необходимые данные через фишинговый сайт или установил мошенническое приложение на телефон, которое записывает экран. Тут стоит на секунду поставить себя и на другое место: подумать, какова может быть выгода сотрудника банка, который помог украсть 200 тысяч и теперь сидит и ждет, когда за ним придут.
А вот в случае, описанном автором статьи, все достаточно прозрачно: 40 минут он общается с мошенником (автор почему-то скрывает от читателей, какую конкретно информацию он передал), затем видит сообщение о списании средств и... что он делает? Еще 40 минут общается с мошенником. Очевидно, он сделал все, что требовалось, чтобы помочь мошеннику удаленно идентифицироваться под видом клиента.
Если бы закон был на стороне клиента, то банки бы приняли все доступные способы обеспечения безопасности средств. И количество краж свелось бы к минимуму.
А как все-таки, по вашему мнению, должен быть изменен закон? И какой?
Хотя бы подтверждение платежей только по смс с возможностью взять распечатку...хотя бы это
Я понял, просто на сегодняшний день уже понятно, что СМС - это не слишком надежная вещь. Недавно была история, когда человек потратил 2 года на то, чтобы доказать, что СМС отправлялись мошенниками с копии его сим-карты. И доказал. И отсудил деньги. Ну, конечно, это как бы другая тема, но тем не менее заслуживает внимания - https://journal.tinkoff.ru/kibermoshennichestvo-zhaloby/ (в трех частях).