В пятницу моя мама столкнулась с мошенниками, действующими от лица ВТБ, и установки «не сообщать кодов, паролей», оказалось недостаточно.
Вводные данные
- Счёт в ВТБ, основная сумма на накопительном счёте
- Мобильное приложение ВТБ Онлайн установленное на iPhone (не рутованый, приложения только из Appstore)
Хроника событий
- В 16:37 маме начинают звонить мошенники. Звонки были с различных номеров, все они начинались +495, в том числе номер ВТБ Страхование +7(495) 644-44-40, что говорит о том что номера телефонов подделаны
- Диалог подробно описывать не буду, главные цели мошенников - удержать жертву на линии как можно дольше, и попросить её зайти в личный кабинет в приложении ВТБ Онлайн по их ссылке (об этом ниже). Ошибка #1 - вступать в диалог
- В 16:49 в мессенджер приходит ссылка формата online.vtb.ru/i/qrauth/..., при нажатии на неё открывается ВТБ Онлайн - всё как говорит "оператор". В ВТБ онлайн после перехода по ссылке появляется окно "Подтвердите вход в интернет-банк. Вы совершаете вход с такого-то устройства, такого-то браузера". Мама перешла по ссылке и подтвердила вход. Ошибка #2 - не прочитать весь текст в этом сообщении
- 17:06 - мошенники перевели деньги с накопительного счёта на мастер счёт, мама увидела уведомление на телефоне об этой операции (но никакого СМС подтверждения не было!)
- 17:09 - Из-за операции по выводу денег с вклада стало понятно что дело плохо, поэтому мама поставила мошенников на удержание и позвонила в горячую линию
- Мошенники попытались перевести деньги с мастер счёта, операция была отменена (либо автоматически, либо благодаря звонку в горячую линию), карта и личный кабинет заблокированы
Как это работает
- Во время разговора, на сайте https://online.vtb.ru/login мошенник генерирует QR код для входа в личный кабинет, из него извлекается ссылка и отправляется жертве в мессенджер
- Домен ссылки является настоящим и опасений не вызывает - online.vtb.ru/i/qrauth/...
- Переход по ссылке и подтверждение входа авторизует в личный кабинет тот компьютер, на котором был сгенерирован QR код
Вопросы к ВТБ
- Почему операция по переводу денег с накопительного счёта на мастер счёт произошла без СМС подтверждения?
- При авторизации по QR коду, в ситуации, когда телефон, сканирующий код и ПК, где этот код был показан, имеют разные IP адреса или геопозицию, не стоит ли добавить дополнительную защиту? Например, СМС код
- Почему в истории авторизаций, авторизация по QR коду не показывает реальный IP адрес зашедшего в личный кабинет?
- Авторизация по QR открывает новые возможности для мошенников. Предоставьте возможность отключить её в настройках в личном кабинете
Выводы
- Установки "не сообщать коды и пароли по телефону" недостаточно. Если сотрудник банка что-то от вас хочет, необходимо не вступать в диалог, сбрасывать и перезванивать самостоятельно
- Новые способы авторизации в личный кабинет несут в себе новые опасности
Будьте аккуратны. Для себя сделал вывод что пользоваться ВТБ как основным банком, пока система с QR остаётся в текущем виде - излишне рискованно, лучше вывести деньги в другой банк.
Хотелось бы услышать комментарии от представителей ВТБ. Я не первый кто выносит эту тему на обсуждение:
6
показов
50K
открытий
1
репост
Я конечно не сотрудник ВТБ, но операция прошла без подтверждения, потому что между своими счетами.
Но тут дело не в ВТБ, а в людях, если там спрашивают, хотите ли вы авторизовать какое то левое устройство в своем интернет банке и человек самостоятельно жмет ДА, то что может сделать банк?
По ссылке (https://vc.ru/claim/221562-moshenniki-deystvuyushchie-ot-imeni-banka-vtb-vyveli-s-kreditnogo-scheta-dengi-ne-sprashivaya-ni-odnogo-koda) пишут что и перевод с мастер счёта в на счета мошенников был произведён без подтверждения. Боюсь, что и в нашем случае было бы тоже самое, если бы операция не была отменена.
На тему того что человек самостоятельно жмёт ДА - всё так, но это не значит что UI/UX приложения и безопасность авторизации QR идеальны - я считаю что можно было сделать безопаснее. И хотелось бы иметь возможность отключить этот способ авторизации.
Прежде всего, надо объяснить всему окружению, что банки могут звонить только с целью впарить кредит или прочие ненужные услуги, по этому если представляются банком или связанным чем то с банком то надо просто повесить трубку без разговоров. Для успокоения можно перезвонить сразу на горячую линию и сказать о случившемся, я почему то уверен что на этом все закончится, а если нет, то вы сможете оперировать фактом того, что перед какими то списаниями вы звонили в банк и сказали что вас домогаются мошенники.
Честно сказать, если вы не предприниматель оказывающий услуги, а просто наемный работник, зачем вы вообще слушаете этот спам, про опросы, службы безопасности и прочую муть? Я лично вешаю трубку примерно на 4-5 слове (первые три это Здравствуйте, Фамилия Имя), если понимаю что это никак не касается моей деятельности. И родителям и всему окружению стараюсь доносить об этом. А когда совсем скучно просто тролю, говорю что не пользуюсь мобильным приложением, нет у меня нету, банк этот не обслуживает и так далее, такие вещи не по скрипту ставят их в тупик.
Иногда банки звонят, чтобы подтвердить платеж по карте.
Ни разу не было подобного.
Я снимал леньги в банкомате за границей, ночью - мне и Альфа и Втб позвонили тут же! Спросили я ли это делаю.
У меня за границей обычно местная симка и номер российский отключён. Что мне грозит? Блокировка карты?
99% да, блокировка будет. Случаи, когда данные карты извлекаются скиммером и продаются за рубеж, и потом с копии вашей карты деньги снимают где-то в Камбоджи не единичны.
Те я должен заплатить рублей 200-300 за звонок отоператора что бы снять в банкомате 10 баксов? Не слишком ли много? Я пользовался тиньком для снятия налички, когда они еще позволяли писать страны где находишься. Теперь они типа умные и отказались от этого, на мой взгляд зря... такая опция должна быть в каждом банке...
Ну да, можно просто добавить формочку, куда поедешь и в какой промежуток дат. И оттуда всё обычные транзакции разрешать.