Мошенники получили доступ к личному кабинету ВТБ и чудом не вывели деньги

В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.

Вводные данные

  • Счёт в ВТБ, основная сумма на накопительном счёте
  • Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)

Хроника событий

  • В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
  • Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
  • В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
  • 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
  • 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
  • Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Хронология вызовов. Все вызовы кроме верхнего - мошенники

Как это работает

  • Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
  • Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
  • Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Авторизация по QR-коду на https://online.vtb.ru/login
СМС от мошенников со ссылкой на авторизацию

Вопросы к ВТБ

  • Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
  • При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
  • Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
  • Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете

Выводы

  • Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
  • Новые способы авторизации в личный кабинет несут в себе новые опасности

Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.

Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:

0
109 комментариев
Написать комментарий...
Павел Шабалин

Я конечно не сотрудник ВТБ, но операция прошла без подтверждения, потому что между своими счетами.

Но тут дело не в ВТБ, а в людях, если там спрашивают, хотите ли вы авторизовать какое то левое устройство в своем интернет банке и человек самостоятельно жмет ДА, то что может сделать банк?

Ответить
Развернуть ветку
Sergey Zhukov
Автор

По ссылке (https://vc.ru/claim/221562-moshenniki-deystvuyushchie-ot-imeni-banka-vtb-vyveli-s-kreditnogo-scheta-dengi-ne-sprashivaya-ni-odnogo-koda) пишут что и перевод с мастер счёта в на счета мошенников был произведён без подтверждения. Боюсь, что и в нашем случае было бы тоже самое, если бы операция не была отменена.

На тему того что человек самостоятельно жмёт ДА - всё так, но это не значит что UI/UX приложения и безопасность авторизации QR идеальны - я считаю что можно было сделать безопаснее. И хотелось бы иметь возможность отключить этот способ авторизации.

Ответить
Развернуть ветку
21 комментарий
Aslan Zhenetl

У меня (втб) все операции между своими счетами подтверждаются смс кодом

Ответить
Развернуть ветку
2 комментария
Dan Priwalow

Нанять Венцеслава Кржыжановского. Он вызовет дух дзержинского, который привлечёт к ответственности мошенников.

Ответить
Развернуть ветку
Skynet

В данном случае человек сам своими руками предоставил доступ к личному кабинету левым людям. Ни один банк на свете не сможет предотвратить потерю денег, если люди САМИ их отдают мошенникам.

Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам! ))

Ответить
Развернуть ветку
Иван Забулдыгин

Это нам с вами легко так говорить - но представьте что это случится с вашей мамой. Ей грозно скажут, что у неё списывают деньги прямо сейчас, что нужно срочно подтвердить свое устройство, скинут ссылку на авторизацию по qr коду. Думаете она поймёт что там написано и какое устройство она подтверждает? В панике то.
Так что да, тут хорошо бы, чтобы у банков были доп. опции позволяющие усложнить операции. Пусть в течении 24 часов после авторизации нового устройства например - каждая операция с него требует подтверждения на втором факторе, или ещё лучше - подтверждения перезвоном в банк.
Будет бы намного сложнее убедить бабушку позвонить со своего номера в банк и сказать - подтверждаю перевод всех моих денег на счёт такого-то, ведь она и там может сказать что ей попросили это сделать по звонку из банка или хотя бы задуматься что говорит и вся афера раскроется.

Ответить
Развернуть ветку
12 комментариев
Сильвестр Иванов

Пусть у людей будет выбор, пользоваться или нет всеми этими куар-биометриями и кредитами на 5 млн по коду из смс.
Жизни диджитал-староверов имеют значение!

Ответить
Развернуть ветку
2 комментария
pancakeForev

Зачем делать вход по qr - модно, современно, молодёжно?)) вход по коду(смс+в телефоне, гугл коды есть) этого достаточно для исключения таких ситуаций. Плюс если повесить проверку на ид устройства(ведь банк собирает эту статистику для проверки отмывания денег)))) то это исключит такой тип мошенничества.

Ответить
Развернуть ветку
1 комментарий
Инесса Аулова

Раз такое творится с мошенничеством, да, пусть так именно и выдают деньги. Или ловят мошенников.

Ответить
Развернуть ветку
Знатный Тролль

Зря вы умалчиваете про содержание диалога и что хотели мошенники. Пока люди будут выполнять приказы левого голоса в трубке, нечего пенять на банк. Ответственность сына объяснить маме, что никто ей не позвонит просто так, чтобы сделать хорошо, всем им что-то будет нужно от нее.

Ответить
Развернуть ветку
FRIENDLY FIRE

Абсолютно согласен, не может поделиться информацией для других людей и обезопасить их, думает только о себе и своей маме.
Какой смысл там блюрить номера и смс, тоже не понимаю 😄
Если пишешь, то пиши от и до, а не с таинствами какими то

Ответить
Развернуть ветку
Derek Morgan

Не понял нафига автор замазал номера телефонов мошенников на скрине. Да и сам смысл скрина вообще теряется при таком раскладе, проще было не прикреплять вообще

Ответить
Развернуть ветку
Anna Petrova

Вам женщин не понять! 😂

Ответить
Развернуть ветку
Make Luv

А вдруг кто-то позвонит им и станет жертвой?!

Ответить
Развернуть ветку
1 комментарий
Sitewell Ad

Да при чём тут "не сообщать кодов, паролей"? ПРОСТО. НЕ РАЗГОВАРИВАЙТЕ. С БАНКОМ. Если он звонит сам. Поговорить не с кем? Позвоните родственникам или друзьям. Всё же захотели поговорить с банком - позвоните ему сами. Всё. В этом нет вообще ничего сложного.

Ответить
Развернуть ветку
Банан

С банком и с полицией. Если полиции что то действительно будет от вас нужно, они постучат вам в дверь

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Louis Cyphre

Великолепные настойки есть у них)

Ответить
Развернуть ветку
1 комментарий
Илья Федоров

этот запрет отключается вебморде. я его включал чтобы поменять пароль потом выключал обратно ибо нефиг. Пароль опять забыл правда, ну да ладно, пофиг. офис в районе появился, если что.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Илья Федоров

можно хотябы город. или область а то меня иногда в ангарске по ip определяют

Ответить
Развернуть ветку
Dan Priwalow

Ребята, Вы сами хотите сверх удобства и все внезапно стали хреновертами, которые испытывают дискомфорт от общения с людьми и хотят только кнопки нажимать. Чему удивляетесь?!

У меня есть основная карта зелёного змия, вернее банка, а к ней дополнительная. Покупки в сети, гугляпэй и т.д. - с основной карты перекидываю сумму на резервную.
Авторизация у брокера - отдельная симкарт воткнутая в нокию 3310 и всегда находящаяся дома.
Накопления лежат в райфайзене и ренесансе, где открыты только накопительные счета и нет ни каких карточных продуктов. Сколько они не предлогали супер условия, но если надо снять-внести, то ножками в отделение и по паспорту, с аудио/видео фиксацией и живым оператором.

Ответить
Развернуть ветку
Банан

Не переживайте, в нужный момент райф и ренессанс откроют вам карту без вашего ведома. Потом скажут, что тщательно проверили всё документы присланные им в WhatsApp, послали смс на случайно выбранный номер и сверили по телефону ваш голос с голосом диктора первого канала (голос не совпал, значит это были вы)

Ответить
Развернуть ветку
3 комментария
Roman Lunin

Я вам скажу что, из моих наблюдений, банка без косяков нет, а тот факт что сотрудники банка вам никогда не звонят уже должны были заучить давным давно, у СБ банка нет таких ресурсов чтоб всех персонально обзванивать, сейчас всё автоматизированно. По этому, когда я слышу какой то бред с незнакомого номера я сразу кладу трубку и номер в игнор.

Ответить
Развернуть ветку
Илья Федоров

атоматизировано, ага, а робатов я сразу посылаю. таких что позвонят и "ждите оператора". ага, мне позвонили и я еще ждать должен, тут когда сам звонишь и ждать надо -бесит.

Ответить
Развернуть ветку
Мекс

Ничего нового. Общаться с мошенниками и нажимать на ссылки, которые вам присылают... сейчас 2021 год. Поставьте себе любой определитель номера (яндекс, каспер и т.п.), там большинство мошенников так и высвечиваются.

Ответить
Развернуть ветку
System Slave

Тоже примерно в это время позвонили "из ВТБ". Причем, это был робот, который запрашивал подтверждение о смене пароля. Я слегка растерялся, сказал нет и бросил трубку. Поскольку биометрию я не сдавал, вряд ли они как-то смогут использовать мой голос, как, впрочем, теперь и я.

Ответить
Развернуть ветку
Илья Федоров

мне код приходил на вход в втб. правда никто не звонил. Может гуглантиспам заблокировал но не помню чтобы в списке звонков что то было. Еще кто то звонил и требовал нажать кнопки на телефоне если да или нет. я нажал красную. :) Красивое.

Ответить
Развернуть ветку
Иван Иванов

Это другой сценарий.
Они расчитывают, что ты дождешься на панике оператора и он тебя уже окучит.

Ответить
Развернуть ветку
Банк ВТБ

Здравствуйте!
Для обеспечения безопасности мы используем самые современные инструменты, если соблюдать меры финансовой безопасности, доступ третьих лиц к личному кабинету клиента исключен. На странице https://www.vtb.ru/bezopasnost/ мы собрали основные рекомендации, соблюдая которые можно обезопасить себя от действий мошенников. Мы всегда рекомендуем своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты смс-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. Сведения, которые вы сообщили в своем отзыве о методе запроса входа в личный кабинет мы передадим в профильное подразделение для анализа. Относительно операции по переводу между своими счетами, где не запрашивается смс- код подтверждения уточним, что в ВТБ Онлайн работает автоматическая система противодействия мошенничеству, которая оценивает операцию на необходимость дополнительного подтверждения смс-кодом.
Надеемся на понимание

С уважением,
Команда ВТБ

Ответить
Развернуть ветку
Clear Pass

Надо отдать должное, с ВТБ мошенникам связываться сложнее всего: в приложении возможно детально прописывать лимиты по каждой операции, смена номера телефона только в офисе с паспортом... Вот я год назад сменил номер в отделении, а в приложении для контактов до сих пор указан старый, уже 9 лет им не пользуюсь. Значит, смена номера требует даже двух посещений офиса!

Ответить
Развернуть ветку
1 комментарий
Илья Федоров

тут проблема в том что человек не знал что дает какие то данные мошенникам. переход по ссылке, тысячи, миллионы раз так делали все. Этак могут и куаркод для снатия налички в банкомате послать. :) Правда в окошке пишется что для снятия налички по такому то адресу

Ответить
Развернуть ветку
color
Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код

Пиздец.
Впрочем, не удивлен. Сейчас куча банков такую херню "для удобства" творить начинают.

Ответить
Развернуть ветку
Илья Федоров

попробовал -невышло. посылает на страницу авторизации. или там не тот урл у меня, я через qrdroid ссылку получил.

Ответить
Развернуть ветку
2 комментария
feiry fairy
операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС

Это нормально, ты бы заебался любой пук подтверждать.
Перевод на другого клиента/банк требует смс, правильно? Значит деньги все равно бы не украли.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Илья Федоров

помню когда для любого пука требовалась скречкарта с одноразовыми кодами :)

Ответить
Развернуть ветку
Denis Denis

"Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам!"

Ну вы прямо как в воду глядите)))

https://kpravda.ru/2021/11/19/v-kurske-pensionerka-ne-poverila-policzejskim-i-lishilas-330-tysyach-rublej/

Ответить
Развернуть ветку
Dan Priwalow

Денис, Я не хочу обидеть социальную группу полицаи, но им кто-то ещё верит?!

Ответить
Развернуть ветку
MiDDeT

По сути новый кейс.
Может попасться даже 'непенсионер'.
Додумались ведь мошенники. А могли свои мозги в что полезное пустить.

Ответить
Развернуть ветку
Дмитрий Истомин

Проблема в том что есть взрослые люди которые все ещё верят в сказки что кто то либо хочет дать им денег либо помочь. Ни один банк не сможет выстроить защиту от этих несчастных.

Ответить
Развернуть ветку
Pote Pote

Отключил вообще мобильный инет банк от втб отключил, надо проверить реалтноинельзя установить. Самая большая проблема, это при утере телефона, если на симке не стоит пин код , то она вытаскивается и вставляется в тел., а дальше пароль не нужен, достаточно смс.
Банки делают все возможное для мошенников и легкий вход и крел
Дит на 1 000 000 рублей за 2 клика и т.д. хотя им же пофиг, кто влетает, они то зарабатывают.

Ответить
Развернуть ветку
Сергей Долгих
Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?

Тоже такое заметил, причем IP каждый раз отличается, но всегда из подсетки 1.0.0.0/8. По whois выдает какие-то подозрительные провайдеры из Индии и Китая.

Видимо kubernetes внедрили, а IP клиента нормально прокидывать не научились. Да еще и публичные ip-диапазоны используют для внутренней сетки, хотя для таких целей есть 10.0.0.0/8

Ответить
Развернуть ветку
Sergey Zhukov
Автор

Да, я это и имел ввиду, спасибо за скриншоты.

Ответить
Развернуть ветку
1 комментарий
Yuri

Я вот в ОАЭ счета открываю сейчас, фиг знает что там с секурностью будет, но чтоб открыть счет это собеседование, подписи на куче бумажек, а не в паре мест как у нас и ожидание еще хз сколько, могут и отказать, это личный, на юр лицо все еще сложнее.

Ответить
Развернуть ветку
Yuri

Это с учётом что есть местное резиденство, ну считай внж

Ответить
Развернуть ветку
1 комментарий
Рустам

Вы задаёте вопросы банку, но вопросы тут задавать надо вам и вашей маме. Переходить по каким-то ссылкам - это уже ваша вина. Об этом тоже все и вокруг говорят. Да и о том, что мошенники могут поменять адреса электронной почты, номеров телефонов и адреса сайтов, уже не знать - грех.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alex Moren

Между своими счетами смс - это задолбаешься, тут проблема в QR-коде, нужно еще хотя бы смской подтверждать такой вход

Ответить
Развернуть ветку
Alexander Bobylev

Мобильный банк, наоборот, лучше ставить и устанавливать подтверждения через пин и по отпечатку. Тогда Вам уведомления придут о любом постороннем чихе. Мне сообщают о любой, даже моей, авторизации в браузере.
Вообще,все эти истории со съёмом денег сложные. Потому что люди будут спихивать ответственность друг на друга. Идеальной системы нет. И банка тоже.

Ответить
Развернуть ветку
Алексей

Вот поэтому я купил маме кнопочный телефон!!!

Ответить
Развернуть ветку
Viacheslav

Наиля проела дыру в безопасности, увы.

Ответить
Развернуть ветку
Maxim Navarski

Мне тоже звонили "сотрудники банка" втб, напрягло, что знают мои ФИО. Назвал липовую дату рождения, "сотрудник" спросил, почему неправильную дату называю? После послал на одно место его. У меня на ВТБ баланс 0, и якобы, кто-то хочет перевести 4500 рублей.

Ответить
Развернуть ветку
Илья Федоров

а баланс они не знают? Хм. а на сбере могли и баланс знать. была дыра, мождет уже закрыли, от вашего номера звонишь в сбер и там голосовой ассистент тебе все расклады дает..

Ответить
Развернуть ветку
1 комментарий
Mitya Kalvados

Товарищи мошенники, выведите с втб мои минус 1,5 млн))

Ответить
Развернуть ветку
Илья Федоров

выведут, будет минус три..

Ответить
Развернуть ветку
Илья Федоров

Сейчас просто сканером штрихкоов отсканировал куаркод, по ссылке перешел в мобильном а оно меня на плеймаркет станичку отправляет для приложения. :) ну а приложение предупреждает о входе.

Ответить
Развернуть ветку
106 комментариев
Раскрывать всегда