Мошенники получили доступ к личному кабинету ВТБ и чудом не вывели деньги
В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.
Вводные данные
- Счёт в ВТБ, основная сумма на накопительном счёте
- Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)
Хроника событий
- В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
- Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
- В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
- 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
- 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
- Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Как это работает
- Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
- Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
- Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Вопросы к ВТБ
- Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
- При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
- Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
- Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете
Выводы
- Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
- Новые способы авторизации в личный кабинет несут в себе новые опасности
Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.
Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:
6
показов
50K
открытий
1
репост
Я конечно не сотрудник ВТБ, но операция прошла без подтверждения, потому что между своими счетами.
Но тут дело не в ВТБ, а в людях, если там спрашивают, хотите ли вы авторизовать какое то левое устройство в своем интернет банке и человек самостоятельно жмет ДА, то что может сделать банк?
По ссылке (https://vc.ru/claim/221562-moshenniki-deystvuyushchie-ot-imeni-banka-vtb-vyveli-s-kreditnogo-scheta-dengi-ne-sprashivaya-ni-odnogo-koda) пишут что и перевод с мастер счёта в на счета мошенников был произведён без подтверждения. Боюсь, что и в нашем случае было бы тоже самое, если бы операция не была отменена.
На тему того что человек самостоятельно жмёт ДА - всё так, но это не значит что UI/UX приложения и безопасность авторизации QR идеальны - я считаю что можно было сделать безопаснее. И хотелось бы иметь возможность отключить этот способ авторизации.
У меня (втб) все операции между своими счетами подтверждаются смс кодом
Нанять Венцеслава Кржыжановского. Он вызовет дух дзержинского, который привлечёт к ответственности мошенников.
В данном случае человек сам своими руками предоставил доступ к личному кабинету левым людям. Ни один банк на свете не сможет предотвратить потерю денег, если люди САМИ их отдают мошенникам.
Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам! ))
Это нам с вами легко так говорить - но представьте что это случится с вашей мамой. Ей грозно скажут, что у неё списывают деньги прямо сейчас, что нужно срочно подтвердить свое устройство, скинут ссылку на авторизацию по qr коду. Думаете она поймёт что там написано и какое устройство она подтверждает? В панике то.
Так что да, тут хорошо бы, чтобы у банков были доп. опции позволяющие усложнить операции. Пусть в течении 24 часов после авторизации нового устройства например - каждая операция с него требует подтверждения на втором факторе, или ещё лучше - подтверждения перезвоном в банк.
Будет бы намного сложнее убедить бабушку позвонить со своего номера в банк и сказать - подтверждаю перевод всех моих денег на счёт такого-то, ведь она и там может сказать что ей попросили это сделать по звонку из банка или хотя бы задуматься что говорит и вся афера раскроется.
Пусть у людей будет выбор, пользоваться или нет всеми этими куар-биометриями и кредитами на 5 млн по коду из смс.
Жизни диджитал-староверов имеют значение!
Зачем делать вход по qr - модно, современно, молодёжно?)) вход по коду(смс+в телефоне, гугл коды есть) этого достаточно для исключения таких ситуаций. Плюс если повесить проверку на ид устройства(ведь банк собирает эту статистику для проверки отмывания денег)))) то это исключит такой тип мошенничества.
Раз такое творится с мошенничеством, да, пусть так именно и выдают деньги. Или ловят мошенников.
Зря вы умалчиваете про содержание диалога и что хотели мошенники. Пока люди будут выполнять приказы левого голоса в трубке, нечего пенять на банк. Ответственность сына объяснить маме, что никто ей не позвонит просто так, чтобы сделать хорошо, всем им что-то будет нужно от нее.
Абсолютно согласен, не может поделиться информацией для других людей и обезопасить их, думает только о себе и своей маме.
Какой смысл там блюрить номера и смс, тоже не понимаю 😄
Если пишешь, то пиши от и до, а не с таинствами какими то
Не понял нафига автор замазал номера телефонов мошенников на скрине. Да и сам смысл скрина вообще теряется при таком раскладе, проще было не прикреплять вообще
Вам женщин не понять! 😂
А вдруг кто-то позвонит им и станет жертвой?!
Да при чём тут "не сообщать кодов, паролей"? ПРОСТО. НЕ РАЗГОВАРИВАЙТЕ. С БАНКОМ. Если он звонит сам. Поговорить не с кем? Позвоните родственникам или друзьям. Всё же захотели поговорить с банком - позвоните ему сами. Всё. В этом нет вообще ничего сложного.
С банком и с полицией. Если полиции что то действительно будет от вас нужно, они постучат вам в дверь
Комментарий недоступен
Великолепные настойки есть у них)
этот запрет отключается вебморде. я его включал чтобы поменять пароль потом выключал обратно ибо нефиг. Пароль опять забыл правда, ну да ладно, пофиг. офис в районе появился, если что.
Комментарий недоступен
можно хотябы город. или область а то меня иногда в ангарске по ip определяют
Ребята, Вы сами хотите сверх удобства и все внезапно стали хреновертами, которые испытывают дискомфорт от общения с людьми и хотят только кнопки нажимать. Чему удивляетесь?!
У меня есть основная карта зелёного змия, вернее банка, а к ней дополнительная. Покупки в сети, гугляпэй и т.д. - с основной карты перекидываю сумму на резервную.
Авторизация у брокера - отдельная симкарт воткнутая в нокию 3310 и всегда находящаяся дома.
Накопления лежат в райфайзене и ренесансе, где открыты только накопительные счета и нет ни каких карточных продуктов. Сколько они не предлогали супер условия, но если надо снять-внести, то ножками в отделение и по паспорту, с аудио/видео фиксацией и живым оператором.
Не переживайте, в нужный момент райф и ренессанс откроют вам карту без вашего ведома. Потом скажут, что тщательно проверили всё документы присланные им в WhatsApp, послали смс на случайно выбранный номер и сверили по телефону ваш голос с голосом диктора первого канала (голос не совпал, значит это были вы)
Я вам скажу что, из моих наблюдений, банка без косяков нет, а тот факт что сотрудники банка вам никогда не звонят уже должны были заучить давным давно, у СБ банка нет таких ресурсов чтоб всех персонально обзванивать, сейчас всё автоматизированно. По этому, когда я слышу какой то бред с незнакомого номера я сразу кладу трубку и номер в игнор.
атоматизировано, ага, а робатов я сразу посылаю. таких что позвонят и "ждите оператора". ага, мне позвонили и я еще ждать должен, тут когда сам звонишь и ждать надо -бесит.
Ничего нового. Общаться с мошенниками и нажимать на ссылки, которые вам присылают... сейчас 2021 год. Поставьте себе любой определитель номера (яндекс, каспер и т.п.), там большинство мошенников так и высвечиваются.
Тоже примерно в это время позвонили "из ВТБ". Причем, это был робот, который запрашивал подтверждение о смене пароля. Я слегка растерялся, сказал нет и бросил трубку. Поскольку биометрию я не сдавал, вряд ли они как-то смогут использовать мой голос, как, впрочем, теперь и я.
мне код приходил на вход в втб. правда никто не звонил. Может гуглантиспам заблокировал но не помню чтобы в списке звонков что то было. Еще кто то звонил и требовал нажать кнопки на телефоне если да или нет. я нажал красную. :) Красивое.
Это другой сценарий.
Они расчитывают, что ты дождешься на панике оператора и он тебя уже окучит.
Здравствуйте!
Для обеспечения безопасности мы используем самые современные инструменты, если соблюдать меры финансовой безопасности, доступ третьих лиц к личному кабинету клиента исключен. На странице https://www.vtb.ru/bezopasnost/ мы собрали основные рекомендации, соблюдая которые можно обезопасить себя от действий мошенников. Мы всегда рекомендуем своим клиентам ни в коем случае, никому и никогда не сообщать авторизационные данные для входа в личный кабинет. Не сообщать данные банковских карт, кодов, внимательно читать тексты смс-сообщений с кодами подтверждений, проверять реквизиты операций, не переходить по ссылкам на незнакомые ресурсы, использовать только официальные банковские приложения, антивирус, не вступать в диалог в звонке с третьими лицами, которые просят уточнить какую-либо персональную информацию. При поступлении подобных звонков самостоятельно перезванивать в Банк на официальный номер и уточнять актуальность звонка. Сведения, которые вы сообщили в своем отзыве о методе запроса входа в личный кабинет мы передадим в профильное подразделение для анализа. Относительно операции по переводу между своими счетами, где не запрашивается смс- код подтверждения уточним, что в ВТБ Онлайн работает автоматическая система противодействия мошенничеству, которая оценивает операцию на необходимость дополнительного подтверждения смс-кодом.
Надеемся на понимание
С уважением,
Команда ВТБ
Надо отдать должное, с ВТБ мошенникам связываться сложнее всего: в приложении возможно детально прописывать лимиты по каждой операции, смена номера телефона только в офисе с паспортом... Вот я год назад сменил номер в отделении, а в приложении для контактов до сих пор указан старый, уже 9 лет им не пользуюсь. Значит, смена номера требует даже двух посещений офиса!
тут проблема в том что человек не знал что дает какие то данные мошенникам. переход по ссылке, тысячи, миллионы раз так делали все. Этак могут и куаркод для снатия налички в банкомате послать. :) Правда в окошке пишется что для снятия налички по такому то адресу
Пиздец.
Впрочем, не удивлен. Сейчас куча банков такую херню "для удобства" творить начинают.
попробовал -невышло. посылает на страницу авторизации. или там не тот урл у меня, я через qrdroid ссылку получил.
Это нормально, ты бы заебался любой пук подтверждать.
Перевод на другого клиента/банк требует смс, правильно? Значит деньги все равно бы не украли.
Комментарий недоступен
помню когда для любого пука требовалась скречкарта с одноразовыми кодами :)
"Нужно тогда вообще всё отключить и выдавать деньги только в отделении, по отпечаткам, анализу роговицы и мочи, расшифровке ДНК и предварительной получасовой консультацией со специалистом, на тему того, «не просил ли кто вас снять деньги»? Плюс, обязательный двухчасовой просмотр документального фильма о методах мощенничества. И ведь даже в таком случае найдутся уникумы которые всё снимут и отдадут мошенникам!"
Ну вы прямо как в воду глядите)))
https://kpravda.ru/2021/11/19/v-kurske-pensionerka-ne-poverila-policzejskim-i-lishilas-330-tysyach-rublej/
Денис, Я не хочу обидеть социальную группу полицаи, но им кто-то ещё верит?!
По сути новый кейс.
Может попасться даже 'непенсионер'.
Додумались ведь мошенники. А могли свои мозги в что полезное пустить.
Проблема в том что есть взрослые люди которые все ещё верят в сказки что кто то либо хочет дать им денег либо помочь. Ни один банк не сможет выстроить защиту от этих несчастных.
Отключил вообще мобильный инет банк от втб отключил, надо проверить реалтноинельзя установить. Самая большая проблема, это при утере телефона, если на симке не стоит пин код , то она вытаскивается и вставляется в тел., а дальше пароль не нужен, достаточно смс.
Банки делают все возможное для мошенников и легкий вход и крел
Дит на 1 000 000 рублей за 2 клика и т.д. хотя им же пофиг, кто влетает, они то зарабатывают.
Тоже такое заметил, причем IP каждый раз отличается, но всегда из подсетки 1.0.0.0/8. По whois выдает какие-то подозрительные провайдеры из Индии и Китая.
Видимо kubernetes внедрили, а IP клиента нормально прокидывать не научились. Да еще и публичные ip-диапазоны используют для внутренней сетки, хотя для таких целей есть 10.0.0.0/8
Да, я это и имел ввиду, спасибо за скриншоты.
Я вот в ОАЭ счета открываю сейчас, фиг знает что там с секурностью будет, но чтоб открыть счет это собеседование, подписи на куче бумажек, а не в паре мест как у нас и ожидание еще хз сколько, могут и отказать, это личный, на юр лицо все еще сложнее.
Это с учётом что есть местное резиденство, ну считай внж
Вы задаёте вопросы банку, но вопросы тут задавать надо вам и вашей маме. Переходить по каким-то ссылкам - это уже ваша вина. Об этом тоже все и вокруг говорят. Да и о том, что мошенники могут поменять адреса электронной почты, номеров телефонов и адреса сайтов, уже не знать - грех.
Комментарий недоступен
Между своими счетами смс - это задолбаешься, тут проблема в QR-коде, нужно еще хотя бы смской подтверждать такой вход
Мобильный банк, наоборот, лучше ставить и устанавливать подтверждения через пин и по отпечатку. Тогда Вам уведомления придут о любом постороннем чихе. Мне сообщают о любой, даже моей, авторизации в браузере.
Вообще,все эти истории со съёмом денег сложные. Потому что люди будут спихивать ответственность друг на друга. Идеальной системы нет. И банка тоже.
Вот поэтому я купил маме кнопочный телефон!!!
Наиля проела дыру в безопасности, увы.
Мне тоже звонили "сотрудники банка" втб, напрягло, что знают мои ФИО. Назвал липовую дату рождения, "сотрудник" спросил, почему неправильную дату называю? После послал на одно место его. У меня на ВТБ баланс 0, и якобы, кто-то хочет перевести 4500 рублей.
а баланс они не знают? Хм. а на сбере могли и баланс знать. была дыра, мождет уже закрыли, от вашего номера звонишь в сбер и там голосовой ассистент тебе все расклады дает..
Товарищи мошенники, выведите с втб мои минус 1,5 млн))
выведут, будет минус три..
Сейчас просто сканером штрихкоов отсканировал куаркод, по ссылке перешел в мобильном а оно меня на плеймаркет станичку отправляет для приложения. :) ну а приложение предупреждает о входе.