Чят, у нас проблемы. Возможен криминал ©

Что для тебя важнее?
Что для тебя важнее?

4 октября 23 г. у моей 79-летней матери со счетов в Сбербанке украли все деньги. Представились «Поддержкой», прислали на Whatsapp ссылку на программу удаленного управления Android-телефоном Webkey Remote Control, получили доступ, а дальше «дело техники». На телефоне, помимо приложения Сбербанка, были установлены «Тинькофф инвестиции» и приложение Тинькофф банка.

Атаку обнаружил случайно. Утром 5 октября зашёл к матери и услышал щелчки, издаваемые телефоном, лежащим экраном вниз. К сожалению, на момент обнаружения атаки средства из Сбербанка были уже похищены, но мошенники, видимо, не оставляли попыток пробить защиту Тинькофф банка.

Слово «атака» в данном контексте использовано не случайно. Частота поступления СМС, звонков, сообщений в мессенджерах с разных номеров была настолько высока, что это мне напомнило сюжет о психической атаке белогвардейцев из старого фильма про Чапаева. Не каждый молодой-здоровый сможет это выдержать и сохранить способность рационально мыслить, не говоря уже о глубоко пожилом человеке.

В результате атаки мошенниками украдено 99,9% средств, «хранящихся» в Сбербанке, из Тинькофф банка — 0% при прочих равных условиях.

Не буду описывать текущие юридические перипетии, но до сих пор деньги, конечно же, не вернули, мошенников не поймали. Ответ от Сбербанка был в стиле «виноват тот, у кого украли», но эту вялую позицию блестяще опровергает Тинькофф банк, который просто хорошо сделал свою работу. Еще раз огромная благодарность за это!

Однако, суть статьи в другом:

Я никак не мог раньше предположить, что в банковских приложениях так легко можно обойти парольную защиту. Причём в приложениях разных банков: Тинькофф — 4 цифры, Сбербанк — 5 цифр. Оба приложения с тремя попытками на вход, затем смена пароля и необходимость авторизации с новым.
Вы можете мне возразить, что, имея полный доступ к телефону, можно поменять пароль банковского приложения. Согласен, можно. Только пароль на всех приложениях остался прежним.

И тут возникают следующие мысли:

1) Это либо закладка в операционной системе и в нужный момент, когда тебе будет 75+ лет, она активируется и тебя с легкостью обчистят до нитки. Всего то нужно — база пожилых людей и их остатки на счетах;

В квартирах полковника ФСБ и двух его бывших коллег при обысках нашли 12 млрд рублей, сообщил источник «Росбалта». Собеседники «Коммерсанта» утверждают, что такая же сумма может находиться на банковских счетах. Таким образом, рекорд полковника МВД Захарченко по размеру теневых активов оказался побит — возможно, даже более чем вдвое.

Сайт журнала Форбс, 17 мая 2019 года

2) Или это незакрытая дыра в системе безопасности старой версии операционной системы, но тогда банк должен знать об этом и предупреждать пользователей приложения: «Операционная система телефона устарела! Для безопасности средств не используйте наше приложение на данном мобильном устройстве». Служба безопасности банка должна выполнять свою работу, а не кичиться своей зарплатой в красивом офисе. Не так ли?

Какие выводы сделал лично для себя?

1) Безопасность банковских приложений для меня скомпрометирована; СМС подтверждения и цифровой пароль из 4-5 циферок — это не современно и не безопасно. Должна быть возможность выбирать из двух вариантов входа: по мнемонической кодовой фразе или по биометрическим датчикам телефона, исключающим удалённый доступ. Никаких СМС в качестве подтверждения и банальных цифровых кодов быть не должно;

2) Служба безопасности Сбербанка крайне некомпетентна. Сначала они включают мошенникам зеленый свет для кражи средств со всех счетов, а потом блокируют уже переводы настоящему владельцу счёта, когда он хочет перевести деньги в другой банк через СБП (на свой же номер телефона). У нас так было 12 октября, когда мы переводили поступившую пенсию из Сбербанка в Тинькофф банк. Пять попыток безуспешно, потом сходили очно в отделение банка с паспортом для замены кодового слова, в итоге перевод прошёл с шестой попытки. Как говорится «и смех и грех». Почему мошенники не ходили в отделение банка? Им и без кодового слова можно?

3) Банковские приложения переустанавил на другое устройство с последней версией операционной системы, на котором нет мессенджеров;

4) Все деньги из Сбербанка забрали, пенсию перевёли на Тинькофф через Госуслуги. Отменили СМС оповещения от Сбербанка, теперь они не понадобятся;

5) Банально, но совет о том, что нельзя хранить деньги в одной корзине, работает;

6) Страхования вкладов в обычном человеческом понимании не существует. Вам могут вернуть вклады только в случае банкротства Сбербанка, потери от мошенников — это ваши потери, банк ни при чём. Вы можете застраховать свои вклады от подобных случаев за дополнительную плату по таксе.

Возвращается Чапаев из командировки в Англию. Одет с иголочки, в лимузине, на руках перстни с бриллиантами и полный багажник денег. Петька его удивлённо спрашивает:
— Василий Иванович, откуда у тебя это всё?
— Да так, Петька… В карты выиграл.
— Как это?!
— Захожу я в клуб. Смотрю — в очко режутся. Сел за стол, взял карты. Стали играть. Один англичанин и говорит: "Очко!" Я ему: "Покажи!" А он: "Мы, джентльмены, верим друг другу на слово".
Вот тут-то мне карта и попёрла!

Анекдот с бородой

Эта статья может выглядеть как реклама Желтого банка и лютый хейт Зелёного. Извиняюсь, если кого обидел, но для меня Сбербанк — отстой, а Тинькофф красавчики. Это основано на моём личном опыте и на банковских документах, имеющихся моём распоряжении.

Современные технологии на страже средств вкладчиков
Современные технологии на страже средств вкладчиков

Для интересующихся темой, попробуйте загуглить фразу «Сбербанк украл деньги». Рекомендую также поизучать народный рейтинг банков на сайте Банки. ру, узнаете много удивительного.

Надеюсь, эта история даст читателям пищу для размышлений. Берегите себя и своих близких, особенно близких пожилого возраста. Извиняюсь за некоторую эмоциональную окраску данного текста, пришлось несколько раз вычитывать, убирая нецензурности. Если что осталось — простите. Мира вам!

Для банка: документ службы омбудсмена Сбербанка № 231009 0801 694000 от 30.10.23.

P.S. Мне тут накидали минусов, видимо думают, что незавидная судьба неудачника и одновременно агента Тинькофф их не коснётся. Вот нагуглил информацию с сайте Центробанка о масштабах бедствия:

11
94 комментария

Хорошая попытка, Тинькофф, но нет, не выйдет.)

7

Алексей, хоть Вы и хейтер со стажем (на досуге изучил ваши комменты), мне было не приятно. Можете радоваться, достигли своего.

К сожалению или счастью я посторонний для этого банка человек, хотя и являюсь клиентом. Не желаю подобных проблем никому. Просто пытаюсь придать проблему огласке. Может это как-то сдвинент с мёртвой точки решение вопроса

Перепись хейтеров?

как можно обсуждать безопасность банка если получен прямой доступ к устройству? это все равно что потерять ключ от замка за миллион долларов который не был никогда взломан - и сокрушаться как легко его "взломали" потеряв от него ключ

5

Можно, банк должен предусматривать любой сценарий и в случае нетипичных переводов блокировать их и требовать подтверждения голосом. Именно этого мы ждем от современного банка. Но без паранойи, баланс должен быть. Для этого программисты хорошие и нужны. А еще приложение банка должно палить что установлены нехорошие приложения и отказываться работать до их удаления

Вот поэтому и статью эту написал:
Одно мобильное устройство, разные приложения, разные банки и такая показательная эффективность работы службы безопасности по факту