Снег Ель
Рискну ответить....
Два СМС-сообщения клиент всё же получил, и этого не отрицает: уведомление о регистрации нового мобильного устройства (на латинице) и код для изменения способа подтверждения операций.
Отчет ОпСоСа, полученный банком, доставку этих СМС подтверждает.
А дальше - злоумышленник переключил способ подтверждения операций на короткий код или отпечаток, а уведомления переключил на ПУШи (которые приходят не на номер телефона, а на устройство с мобильным приложением).
Т.о. клиент говорит абсолютную правду о том, что уведомлений о совершаемых операциях он не получал - потому что эти уведомления шли ПУШами на устройство злоумышленника.
И кодов СМС на подтверждение операций клиент тоже не получал, поскольку операции подтверждались из мобильного приложения коротким кодом (придуманным злоумышленником для своего устройства), отпечатком пальца злоумышленника или FaceID злоумышленника.
Никаких противоречий...
Если это и так, то может свидетельствовать лишь о том, что логин и пароль были известны злоумышленнику ранее. И если бы Анастасия более полно, последовательно и достоверно описала всю ситуацию, предшествующую попыткам Елены войти в МКБ-онлайн, и реальные причины, пробудившие её предпринять эти попытки - сообщество могло бы предложить к рассмотрению разные версии реализиции данного мошенничества (что, собственно, и делалось на форуме банки.ру - несмотря на дефицит достоверной информации).
Чтобы понять, кто виноват в случившемся, нужна полная и достоверная информация о том, что произошло до инцидента (хотя бы за два часа до попыток) - т.е. обо всех состоявшихся контактах с использованием телефона и интернета, о всех действиях с телефоном и компьютером, причем контактах и действиях не только Елены, а и тех, кто был с ней рядом.
Ну, и информация о том, кто ранее мог иметь хотя бы кратковременный доступ к компьютеру и телефону, достаточный для того, чтобы успеть намеренно внедрить (или случайно словить) вирус или установить программу удалённого доступа.
Код из СМС просто так к злоумышленнику попасть не мог, также как и логин-пароль.
И пытаться обвинить в этом сотрудников банка - это то же, что прятать голову в песок. Или же это попытка намеренно отвести подозрения от реальных виновников произошедшего.
Пока вы не выясните, какие же именно действия Елены и её окружения привели к утере логина-пароля и кода СМС, вероятность повторения произошедшего велика - причем, подобные инциденты со счетами Елены могут произойти и в любом другом банке.
В ваших же интересах не обвинять банк в пособничестве мошенникам (причем, без всяких на то оснований), а тщательно проанализировать действия Елены и её ближайшего окружения.
Да не надо запрещать использование МП по умолчанию, надо просто при подписании Договора определить допустимое количество подключаемых мобильных устройств. Я, к примеру, использую МП на смартфоне и планшете, для меня это количество должно быть меньше либо равно 2. Если я куплю новый гаджет и захочу установить на нём МП - велкам в отделение, для увеличения упомянутого количества. Или в настройках ЛК отключить одно из прежних устройств (естественно, с подтверждением по СМС и уведомлением об отключении), и только после этого подключать новое.
А вот по поводу отделения этого вопроса от линии дискуссии - позвольте не согласиться.
Просто ничем не обоснованные просьбы ограничить число устройств банки игнорируют.
А вот в совокупности с реальной историей мошенничества (да ещё и с крупным ущербом!), осуществлённого именно "благодаря" подключению МП (в то время как владельцу аккаунта это МП на фиг не нужно было) - эти просьбы получают очень весомое обоснование.
Отклонив голословные обвинения в передаче данных мошенникам, банк всё же будет вынужден задуматься о вопросах повышения безопасности ДБО.
В том числе, и о предоставлении клиенту технической и юридической возможности обезопасить свои сбережения, всего лишь сознательно ограничив себя в использовании отдельных "удобств". .
Есть варианты, просто Вы их не желаете рассматривать.
Причастность сотрудников банка к передаче данных банк легко опровергнет. Про технологию хранения паролей Вам уже объяснили. Сотрудник банка мог знать только логин, который распечатывал для Елены. А временный пароль присылают СМС-кой, к которой сотрудники доступа не имеют: к тому же, этот пароль Елена сразу же сменила на свой собственный.
А к кодам СМС, отправляемым клиентам для подтверждения операций, сотрудники банка вообще доступа не имеют, и передать кому-либо такой код просто не в состоянии.
Так что виновные в утечке СМС где-то рядом с вами. Равно как и в утечке логина-пароля.
Телефон и компьютер на наличие вирусов и/или программ удалённого управления проверяли?
С передачей злоумышленнику кода СМС на смену способа подтверждения возможных вариантов всего два:
1. Кто-то, находящийся рядом с телефоном, ввел полученный код в какое-либо диалоговое окно (предложенное злоумышленником), передал его злоумышленнику по телефону в ходе разговора или просто переслал СМС.
2. На телефоне был вирус или была установлена программа удаленного управления типа TeamViewer, и код СМС стал известен мошеннику именно поэтому.
Вариант с участием сотрудников банка технически невозможен.
Ищите ошибки в собственных действиях или действиях ближайшего окружения, вирусы и другое зловредное ПО на компьютере и телефоне, ну и тех, кто это ПО мог установить - нечаянно или специально - на ваши устройства (если специалисты при обнаружат следы установки зловредов на ваших устройствах).
Продолжать безосновательно обвинять банк в передаче данных мошенникам - это контрпродуктивно.
Если банк и виноват, то только в неээфективности системы антифрода.
А во всём остальном, увы, виноватых надо искать на стороне клиента.
Trail soul, Вы абсолютно правы в том, что ничего не произошло бы, если бы код из СМС не был передан злумышленнику.
И мне очень нравится Ваш спокойный и взвешенный подход к обсуждению данной ситуации.
Жертву жаль, но для того, чтобы избежать в дальнейшем подобного, и Елене, и Анастасии в первую очередь стоило бы не банк обвинять в пособничестве мошенникам, а выяснить, как злоумышленник получил доступ к логину и паролю (что вполне достаточно для установки МП), а потом - и к СМС с кодом для смены способа подтверждения операций.
С другой стороны, если бы при регистрации нового мобильного устройства в МКБ требовался не только ввод логина-пароля, но и дополнительно запрашивался код СМС (как при входе в веб-версию МКБ-онлайн), то выполнить задуманное мошеннику было бы сложнее.
И если бы нормально сработала система антифрода МКБ, операции переводов из свежеустановленного МП были бы приостановлены, и клиенту позвонили бы из банка ДО выполнения операций, а не ПОСЛЕ - то ущерб был бы минимальным.
Поэтому вынос конфликтной ситуации в публичное поле в определённом смысле полезен: публичное обсуждение проблем с безопасностью ДБО способно сподвигнуть МКБ на доработку своих систем и алгоритмов. Что будет только на пользу клиентам МКБ.
Ну, и не лишним будет еще раз привлечь внимание общественности к вопросу о правовой защищённости клиентов банков:
Предлагая клиенту подписать Заявление на предоставление комплексного банковского обслуживания, банки навязывают клиенту целый комплекс услуг, часть из которых небезопасна и клиенту совсем не нужна.
Это и использование таких каналов дистанционного доступа к ЛК клиента, как мобильное приложение (в описываемой ситуации именно МП сыграло фатальную роль) и банкомат, и такие услуги, как дистанционное оформление кредита или дистанционное восстановление доступа в ЛК по СМС, и всевозможные "телефонные банки".
С разгулом банковского креатива в подключении клиентам всевозможных дистанционных "удобств" появляются всё новые "удобные" лазейки для мошенников.
А клиент пока не имеет ни права, ни возможности отказаться от отдельных, конкретных "удобств" (являющихся удобствами и для злоумышленников), разве только целиком заблокировать ДБО, отказавшись и от карт, и от онлайн-вкладов, и от онлайн- покупок....
Давно уже назрела необходимость ЗАКОНОДАТЕЛЬНО обязать банки предоставить клиентам выбор и самостоятельно, в Договоре на ДБО, определить перечень подключаемых дистанционных услуг и сервисов, с возможностью в любой момент отказаться от любой опции, с повторным подключением её только в отделении, с паспортом.
Пока законодатели созрели только в отношении онлайн-кредитов - и то вопрос находится в стадии обсуждения...
Но общественность способна достучаться до и ЦБ, и до депутатов, и заставить-таки осознать масштабы бедствия.
И побудить их хотя бы дать право клиентам самостоятельно защитить свои сбережения от злоумышленников, сознательно отказавшись в Договоре на ДБО от части дистанционных "удобств", являющихся потенциально опасными.
Анастасия, вот что ещё следует отметить:
Если иск к банку будете подавать по ЗоЗПП в связи с ненадлежащим качеством оказания банковских услуг (выше приводился пример положительного судебного решения со ссылками на нормативную базу), то нужно четко владеть терминологией и не дать банку возможности подменить понятия (в данном случае - банковская услуга и банковская операция).
Представитель банка пишет:
"...перевод был успешно осуществлен в силу ч. 7 ст. 5, ч. 9 ст. 8 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Так услуги по переводу денежных средств оказаны банком в полном объеме и надлежащим образом.".
Обратите внимание: здесь явно прослеживается подмена понятий - вместо оценки качества (в т.ч. и безопасности) банковской услуги ДБО, оценивается качество выполнения конкретных операций перевода.
Перевод в онлайн-банкинге - это один из видов банковских операций, совершаемых дистанционно.
И все переводы, действительно, выполнены быстро и в полном объёме. Никаких претензий к качеству выполнения ОПЕРАЦИЙ переводов нет, технология отработана, всё замечательно.
Вам же предстоит доказать, что оказанная вам банковская УСЛУГА ДБО (т.е. услуга дистанционного банковского обслуживания в целом, а отнюдь не конкретная операция перевода) была ненадлежащего качества, так как банк не выполнил требования 161-ФЗ, не выявил и не приостановил операции, явно имеющие признаки совершения без согласия клиента. Вместо этого он выполнил их в полном объёме, быстро и качественно....
А Договор комплексного банковского обслуживания всё-таки рекомендую почитать, на сайте банка.
И да, юрист вам, скорее всего, понадобится, судя по тону и характеру дискуссии (слишком эмоционально и непоследовательно) и по тому, какие аргументы (проявляющие некоторую техническую и юридическую неосведомлённость в отдельных вопросах) вы приводили и здесь, и на банки.ру.
Самостоятельно вам вряд ли удастся справиться.
Удачи!
Это вряд ли соответствует истине - что клиент ДКБО не подписывал.
Я тоже клиент МКБ. И при самом первом обращении все подписывают Заявление на предоставление комплексного банковского обслуживания. И вот там-то клиент соглашается со всем, что написано в ДКБО.
Причем содержание ДКБО находится в публичном доступе, на сайте банка (там больше сотни страниц, насколько я помню). И может время от времени меняться - но клиент сам должен отслеживать эти изменения, так же, как и изменения тарифов.
По телефону операцию подтверждать уже не было необходимости, она была подтверждена из МП (коротким паролем, отпечатком или FaceId), и проведена была в тот же момент. А звонок из банка был для того, чтобы блокировать карту и предотвратить дальнейший вывод средств.
Что касается того, что операционист в отделении ничего не сообщил Елене об уже проведённых операциях - так и не было у него такой задачи. Мало ли, кто, кому, когда и сколько переводит....
Если бы Елена спросила, или выписку попросила - ей бы информацию предоставили. А без просьбы лазать по счетам клиента, чтобы сообщить внезапно - О! а у вас тут семь переводов было! - операционист не должен
Ну, банк всё, что мог, откомментировал в отзыве.
Мобильное приложение установлено с вводом логина и пароля Елены.
Смена способа подтверждения операций в МП произошла с вводом кода, пришедшего на зарегистрированный номер телефона Елены.
Подтверждение операций отпечатком, коротким кодом или FaceId является допустимым в соответствии с ДКБО - это аналог личной подписи клиента.
Уведомления банк направлял пушами на мобильное устройство, зарегистрированное надлежащим образом.
7 документов о несогласии с операциями в отделении банка были бесполезными, потому что операции переводов являются безотзывными сразу же после их проведения - поэтому документы и аннулировали.
Претензии можно предъявить только к системе антифрода.
Но это в том случае, если к аккаунту Елены никогда и никем прежде не привязывались мобильные устройства, и никогда прежде не выполнялись переводы на крупные суммы из мобильных приложений.
Представитель банка не имеет права раскрывать алгоритмы системы антифрода, поэтому мы здесь не дождёмся объяснений, почему система сработала только после вывода миллиона.
Это уже только в суде...
Но на сам факт вывода крупных сумм из только что установленного МП банк должен был бы среагировать.
Не среагировал. Вернее, среагировал, но с запозданием, после вывода миллиона.
Анастасия, готовьте аргументы для суда - если сможете доказать, что никогда прежде к аккаунту Елены не привязывались мобильные устройства (не обязательно самой Еленой и на её собственном устройстве) и не выполнялись крупные переводы в сторонние банки, шансы есть.
Если это случалось, хотя бы раз (а банк имеет информацию обо всех переводах и запоминает идентификаторы всех устройств, на которые ранее устанавливались МП, и легко сможет это доказать, даже если потом эти МП удалялись с устройства) - шансов нет.
Да, с системой антифрода в МКБ беда....
Вот ещё один случай кражи денег у пенсионера из свежеустановленного мобильного приложения
https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=383770#forum-message-list
На этот раз - с досрочным расторжением вклада.