Мне давно надоели эти банки, но инфо-пространство постоянно забито историями, как мошенники в очередной раз украли деньги, причём даже без социальной инженерии.
Народ жалуется на Tinkoff, Альфа-банк и прочие банки, на операторов сотовой связи. Портал banki.ru ввёл драконовские правила, что у него решения судов без оценок в народном рейтинге, на форуме нельзя написать, что itsoft выиграл дело у ВТБ — это реклама itsoft видите ли, то есть видно надо писать одна компания, но не скажем какая, выиграла суд у ВТБ.
В статье “Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством” есть простые рецепты, которые бы исключили случаи мошенничества хотя бы для тех, кто не разговаривает с мошенниками и не сообщает им коды. Народ хочет аппаратные токены, а банки не дают.
К написанию данной статьи меня ещё сподвиг наш конфликт с хостером Leaseweb. 7 лет мы платили одну цену в месяц за аренду серверов там. А потом она внезапно выросла в 70 раз. Leaseweb решил, что за действия злоумышленников деньги надо списать с нашей корпоративной карты.
Банки и корпорации разрабатывают свои договоры и внутренние инструкции таким образом, чтобы не иметь никакой ответственности перед клиентом, а клиента ободрать до нитки за действия третьих лиц, даже если закон прямо говорит, что банк обязан вернуть клиенту деньги.
Разбор спорных пунктов чек-листа защиты от мошенников
Недавно вышла статья “Самый полный чек-лист для защиты от мошенников”, где некоторые пункты имеют и обратную сторону медали, например, дополнительный номер телефона и дополнительная почта в аккаунте Google (Apple) — это и дополнительный риск утери контроля над телефоном, которым почти не пользуешься. Но самое главное, даже у меня крыша едет от такого количества действий. Многие можно сделать, но удобство обратно пропорционально количествам мер безопасности — жизнь превратится в ад.
Поскольку пунктов в чек-листе защиты от мошенников много, то пройдемся по ним с пояснением, чем они могут быть вредны.
2. Кодовое слово вы произносите по телефону, звонки пишут в нескольких местах, к ним имеет доступ непонятный круг лиц, даже переговоры олигархов и президентов сливают в сеть. Все вопросы лучше решать через чат в ЛК или Telegram, WhatsApp.
3. Запрет на действия с доверенностью. Это будет противоречить ГК РФ. Пришедший с доверенностью человек будет требовать на основании ГК РФ осуществить действия — против закона никто не пойдёт, то есть новая доверенность отменяет старые распоряжения. Но самое главное — это неудобно, если действительно вы лично не сможете прийти.
7. Мошенники позвонят с номера банка. Подменить номер можно и при звонке, и при отправке СМС.
11. Суточные лимиты вам не помогут, если их можно изменить в приложении банка или звонком в банк.
15. Уже сказал выше про дополнительный номер телефона и дополнительную почту в аккаунте Google (Apple).
27. Пометить как НЕ спам номера телефонов моб.оператора и банков. См. Пункт 7.
45. Будьте внимательны на сайтах с пиратским контентом — звучит, как будьте внимательнее, играя с напёрсточником или устанавливая крякнутое ПО. Может не стоит вообще посещать левые сайты?
47. Если загруженный файл, приложение уже сами по себе являются не вирусом, а шпионским ПО, то проверку могут и пройти.
49. Совет платить наличкой странный. Оплата телефоном решает эту проблему.
56. Мошенники подключат, даже не сомневайтесь. Тут как раз банки должны как Google на все устройства рассылать инфу о том, что вход осуществлён с нового устройства.
61. Пользуйтесь проверенными крупными операторами связи — а это смешно. Если можете иметь симку какого-нибудь заграничного оператора, какой-нибудь маленькой страны, где не понимают по-русски, то она самая надёжная. Вероятность её перевыпуска мошенниками стремится к нулю.
62. Аккаунт в ВК лучше вообще не иметь, пока не подбросили картинку со свастикой или роликом и не посадили за них.
68. Мошенники иногда сами блокируют вашу симку, им этого только и надо. Особенно вот это “попросите прохожего, таксиста, охранника, полицейского дать вам телефон” клёво сочетается с п. 60. “Не давать в руки телефон малознакомым людям”.
80. Адвокат с вас за один приём слупит возможно больше, чем мошенники. В Яндексе и Гугле много бесплатной инфы, но не вся она полезная, да и адвокат может давать вредные советы.
81. Убедиться надо в том, что списание было. Это можно сделать через приложение банка, если оно работает.
83. Банк будет рекомендовать написать заявление в полицию.
86. Про полицию будет далее вишенкой на торте — почему так делать не стоит в ряде случаев.
Обращаться ли в полицию, если мошенники украли деньги с банковской карты
Это зависит от того, у кого украли. У вас или у банка. Если у вас украли телефон, банковскую карту, то сначала вы блокируете всё в банке и потом обращаетесь в полицию.
Если у вас ничего не крали, вы мошенникам ничего не сообщали, то деньги украли не у вас, а у банка! Вы не пострадавшая сторона. И это очень важно! Не вляпайтесь! Если вы пойдёте по совету банка в полицию, то банку только этого и надо. Вы сами признаёте себя пострадавшей стороной и говорите, что деньги украли не у банка, а у вас. Хотя на самом деле это не так.
Если вы в полицию не идёте, то банк должен доказывать, что деньги украли у вас, а не у него, что вы сообщили мошенникам все свои данные, а не мошенники их где-то купили, перехватили СМС, узнали кодовое слово.
Вам надо стоять на том, что деньги украли у банка. Возможно это сотрудники банка слили данные, как уже бывало и некоторых ловили, возможно хакеры взломали банк, но не вас. Это банк должен доказать как именно взломали вас. Возможно ваши данные те же люди слили, которые сливали Навальному или которых ловили на торговле данными в даркнете. Это всё проблемы банка, а не ваши.
Правовое обоснование
Описанное выше само по себе логично и понятно. Если клиент заявляет, что он операций не совершал, то дальше банк должен представить доказательства, что клиент совершал операцию. Тут банки любят дурить клиентов и говорить, что доказательства они предоставят только полиции. Тогда следует подать обычный гражданский иск в суд против банка, где ему придётся доказывать свою позицию.
Есть 161-ФЗ — федеральный закон о национальной платёжной системе. Название немного неудачное и может ввести в заблуждение. Что ещё за национальная платёжная система и при чём тут банки.
Статья 1. Настоящий Федеральный закон устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем…
Пока только непонятно что же такое национальная платёжная система. Может это какая-то отдельная система?! Но нет.
Статья 3. 1) национальная платежная система — совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъекты национальной платежной системы);
Непонятно, является ли банк оператором по переводу денежных средств. По смыслу является, но явно же не назван.
Статья 11.
1. Операторами по переводу денежных средств являются: ... 2) кредитные организации, имеющие право на осуществление перевода денежных средств;
О, уже ближе. Но опять, пока чётко же не написано про банк, хотя вроде всем известно, что банк — это кредитная организация. А это уже закреплено в Статье 1 федерального закона о банках и банковской деятельности.
Этот муторный процесс я тут привёл, чтобы показать, как читать законы и что это посильно каждому. А то меня иногда юристом начали называть, хотя я не юрист.
Статья 8. Распоряжение клиента, порядок его приема к исполнению и исполнения5.1. Оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
Из признаков нам интересен больше всего пункт:
3.3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности).
Ведь все мошеннические операции не соответствуют обычному характеру. Мошенники, как правило, в ночное время, когда клиент спит, списывают все возможные деньги плюс открывают кредиты и их тоже списывают. Заходят мошенники в банк с другого устройства, с другого IP-адреса. И раз банк это допустил, значит косяк его.
Теперь из статьи 3 нам понадобится следующий термин:
19) электронное средство платежа — средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств;
По сути это личный кабинет на сайте банка, банковское приложение на смартфоне, ну или ещё проще — ваш аккаунт в банке в совокупности с банковскими картами и счетами.
Статья 9. Порядок использования электронных средств платежа
11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.
14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента.
15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента — физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент — физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом — физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица.
Иногда мошенники меняют контактный телефонный номер клиента в банке или же перевыпускают SIM-карту. В этих случаях клиент уведомления не получит. Если банк позволил мошенникам изменить телефонный номер или активировать новую SIM-карту, то банк обязан всё возместить.
Если же мошенники каким-то образом деньги украли, а клиент, как это описано во многих статьях, получает СМС о списании, то предъявив претензию банку в течение суток, клиент имеет высокие шансы на возврат денег. Зафиксируйте факт получения претензии банком — снимите скрины с чата, запишите звонок в банк, получите номер, под которым зарегистрировано ваше обращение в банк.
Нас дополняют. Прислали список полезных ссылок из практики:
В своё время на форуме banki.ru много ссылок постил пользователь "Дмитрий 29" за что ему большое спасибо (я после чтения его постов был подготовлен, правильно написал обращение в банк и банк без вопросов вернул мне деньги по всё тому же 161-ФЗ стоило мне лишь заикнуться в разговоре с руководителем отделения о желании пойти в суд). Вот навскидку только из его постов.
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7725747#message7725747
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=7725792#message7725792
https://www.banki.ru/forum/?PAGE_NAME=message&FID=504&TID=218316&MID=8270030#message8270030
https://www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=380446&MID=8272133#message8272133
А вот парочка свежих (из Консультанта), которые проскакивали там же, на склянках
Заключение
- Берегите свои данные, не общайтесь с мошенниками, приучайте своих старших родственников не отвечать на звонки с незнакомых номеров.
- Самостоятельно читайте и понимайте законы. Не доверяйте на слово ни юристам, ни адвокатам, ни тем более, бангстерам.
- Прежде чем идти в полицию, убедитесь, что вы действительно пострадавшая сторона.
- Если же деньги украли у банка, а не у вас, то направляйте банку претензию в соответствии со статьями 8 и 9 161-ФЗ и затем исковое.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Реклама хостера не самая удачная )))
Меняйте подход или креативщика.
Нормальная реклама, статья хорошая
Офигенная статья, спасибо креативщику что думает не как все :*
Там креативщик - сам директор/владелец и он немножко наркоман😉
Сделаем.
Обязательно рассмотрим ваши замечания.
Есть конкретные предложения на что и кого менять?
Проще поставить свой сервер.
Можно еще послать письмо в банк почтой России с требованием запретить выдачу кредита без личного присутствия в офисе.
Даже если откажут, то у вас останется доказательства для суда что вы предприняли действия для обеспечения безопасности.
Но сначала проверьте, что Почта России его доставила:)
Ох уж эти мошенники. Меня одного эта социнженерия через звонки уже достала? Из-за этого беспредела никто ни до кого дозвониться не может. Чужой номер - всё, или обзвоны, или прозвоны, или роботы, или мошенники - 99% случаев именно так. Как долго это можно терпеть? Курьеры порой не могут пробиться, просто потому что людей приучили не отвечать на неизвестный номер. Куда смотрит государство? У них убой лося важнее, чем бесконтрольные разводы доверчивых людей! Вводите закон, чтобы все исходящие звонки были платные, я готов за них платить, и это будет конец 99% мошенникам.
Комментарий недоступен
"которые сливали Навальному"
вот эти байки для зумеров обязательно приплетать?
Приплети сраку тогда
Вам похоже надо было к чему-то придраться.
Комментарий удален модератором
Статья классная и очень актуальная. А есть правоприменительная практика на эту тему?
Добавили в конце статьи.
Есть. Пирщик не добавил. Надо пнуть.
Что? Откуда это вообще? В исходной статье по ссылке другая нумерация вопросов, и совет платить наличкой за границе совсем не странный — там объясняется, почему.
Кто вообще писал этот текст?
Да и вообще не тыкать картой в непонятные терминалы - вполне себе здравый совет. Тем более, что банковская система сделана так, что размер транзакции сразу не понятен.
Украли а банка, а не у вас - только банк не разделяет ваше мнение
Банк не истина в последней инстанции. Над банком есть 161-ФЗ и суд.
Клиенту главное выполнить требования 161-ФЗ и подать исковое сославшись на конкретные статьи 161-ФЗ.
Неужели ни у одного банка нет токена для входа в онлайн банк?
Раньше (лет 8 назад) был в авангарде. Как сейчас не знаю
Вот ещё когда-то было в ходу:
Помню, у Сбера в банкомате можно было распечатать чек с одноразовыми паролями))
Комментарий недоступен
Цитата:
[мы решили закрыть счет] ... А Банк ВТБ отказался, чем прямо нарушил пункт 1 статьи 859 ГК РФ. В банке ВТБ считают, что генеральный директор должен к ним явиться лично для закрытия счёта. Мы пошли в суд. И суд проиграли.
[но потом выиграли] .
—
И из-за этого гоняться по судам? Неужели айсофт решил потратить больше времени на суды, вместо того, чтобы просто прийти физически в банк и закрыть счет? Недоумеваю малось.
За статью - отдельное спасибо, не знал таких "нюансов".
Потому что это важно, дело принципа
«В России прецедент официально не является источником права, хотя на практике решения вышестоящих судов часто принимаются во внимание при разрешении споров».
Да и как сказал комментатор, это дело принципа, отстаивание права. В итоге выиграли.
Один знакомый из онлайна попался в схожую ситуацию. У его мамы кидалы выманили 250к.
Все что он сделал-пробил данные карты, куда ушли деньги(пробив 5к стоит на дарк форумах), наведался к дропу(жоповатого вида работяге), и популярно объяснил, какие конечности окажутся в каких промежностях, если завтра денег не будет.
В итоге, дроп сперва получил в дыню, по итогу взял кредит и отдал деньги.
Другим наука.
А мог бы и в полицию пойти. Или дать в дыню сдачи. Тут уж как повезёт.
Да и сказки вы рассказываете. Они там что дураки в том же городе налить?
Поди и в другую страну уведут. Или в какой-нибудь регион РФ, куда опасно наведываться.
Как привезти самому себе 163 УК РФ? Ценный совет, несмотря на то, что пиздеж
За Путина на зоне респект)
Уточнение: в СИЗО👆🏻 Там кстати и Гуф ещё - пальцем в газету тычет😂
Один из эффективных способов борьбы описан в песне из старого фильма:
Если у вас нету дома,
Пожары ему не страшны,
И жена не уйдёт к другому,
Если у вас, если у вас,
Если у вас нет жены,
Нету жены.
Может уж лучше было не родиться, а?🤣
Недавно восстанавливал пароль в ЛК ВТБ через веб (давно не пользовался). По сути восстановление пароля однофакторное: только код из смс. Пр этом доступ в ЛК двухфакторный: код из смс + пароль.
Но восстановление пароля - это тоже доступ к ЛК.
То есть имеем рядом две двери в одну и ту же комнату с деньгами. На первой двери два замка и нужно два разных ключа (код из смс + пароль), а на второй двери один замок и нужен один ключ (код из смс).
Естественно, мошеннику проще попытаться пробраться в комнату через дверь с одним замком.
Самое простое для банков было бы добавить второй фактор на восстановление пароля. Можно на email например код высылать. То есть для восстановления пароля использовать два разных кода: из смс и из email. (правда восстановление пароля к email тоже может быть на тот же телефон завязан, но это уже в наших руках. Опять же мошеннику надо знать email, а его не обязательно показывать полностью).
Можно еще какой-то второй фактор использовать для восстановления пароля. На выбор. Коды со скретчкарты, или в банкомате инициировать отправку кода на доверенный номер.
(Хотя в некоторых банковских приложениях и пароль-то теперь не спрашивают, то есть у них и основной вход теперь однофакторный)
Восстановление пароля должно быть только офлайн, через визит в отделение банка или получение кода в банкомате
вкину 5 копеек - статический IP вводить не нужно для банковских приложений, потому что мобильные IP только динамические (потому что мы физически перемещаемся между вышками обычно), то есть с телефона вы в приложение не зайдете
Личный впн?
заглавная картинка отличная)
Хорошо написано, грамотно. Насчёт обращения (или не обращения) в полицию вопрос спорный. Дело в том, что полиции (со слов начальника отдела по борьбе с дистанционным мошенничеством) дано указание генпрокуратуры (так вроде) признавать потрерпевшими "физиков", т.е. граждан, а не банки. Если стало известно, что деньги списали, то это факт, по которому имеете полное право сделать сообщение о преступлении. В сообщении надо написать так, чтобы было понятно, что деньги списали (украли) именно у банка, но деньги это ваши. Тогда у банка не будет оснований обвинять вас в том, что вы сами признали себя потерпевшим, т.е. украли именно у вас. С полицией вы можете не соглашаться, ссылаясь на то, что указания полиции на вас не распространяются. Таким образом, процессы "раздвояются" на гражданский и уголовный. Я столкнулся (не в отношении себя) с тем, что суды вплоть до апелляционного общей юрисдикции игнорируют нормы ФЗ-161 и закона "О защите прав потребителя", "О защите прав потребителей", "Об информации...", выдумывая всякую ересь в интересах банка (данном случае было - ВТБ). А в особо сложных измышлениях допускают логические ошибки "с точностью до наоборот". Полиция практически бездействует и скрывает это, не позволяя знакомиться с делом. Похоже на сговор.Так получилось, что срок обращения в Верховный суд из-за загруженности по работе мы пропустили. Очень жаль, что не получилось довести до конца и наказать негодяев!
Комментарий удален модератором
И что вам сказали в полиции?
Test message
test
Комментарий удален модератором
Возбудили? Когда суд?
Комментарий удален модератором
Комментарий удален модератором
Минуснул)) кольнуло значит)
Я с вами полностью согласен
https://freestockpng.net/en/search?search=free+PNG+image
Пошел посмотреть портфолио айсофта ))
https://www.behance.net/gallery/38254309/nacionalnoe-kreditnoe-tovarischestvo
показалось =)))
https://www.pngegg.com/en/search?q=%D0%B1%D0%B0%D0%BD%D0%BA+%D1%80%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9+%D1%81%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82