Наткнулся в фейсбуке на жалобы пострадавших от очень странного мошенничества. У людей украли все деньги со счетов, зная только телефон и номер карты. По словам пострадавших они не сообщали мошенникам коды из СМС, CVV-коды и pin-коды.
История первая. Пострадавшая,
.
"Меньше года назад, в конце прошлого августа, меня здорово обворовали.
Дело было так. Продаю старый пылесос на Авито, звонок: «Прекрасный пылесос, через час пришлю за ним машину, продиктуйте, пожалуйста, номер карточки». Это ведь, казалось бы, безопасно, не правда ли. Диктую. Тут он хитренько говорит: «А продиктуйте, пожалуйста, три оборотные цифры». Я умная: «Что вы-что вы, пахнет мошенничеством, давайте распрощаемся». А он: «Дарья, вы думаете, они мне нужны, чтоб вас ограбить? ДА Я УЖЕ В ВАШЕМ ЛИЧНОМ КАБИНЕТЕ». Гляжу в Альфа-мобайл. На рублевом счету было примерно 8 тыс. И на моих глазах хоп! — их уже 7, хоп — 5, хоп — 2. Он: «Видите?». Тут я наивно: «Верните-ка, пожалуйста». Он: «А вот для этого мне нужны ваши три цифирки». Я: «Конечно, нет, до свиданья». Он: «Ну, смотрите». В буквальном смысле смотрю и вижу: на долларовом счету деньги с такой же скоростью стали резко уменьшаться, а на рублевом — появляться: в течение нескольких секунд он перевел все доллары на рублевый счет, а потом вывел прочь. Тут я взбесилась, а он: «Ах, это было на лечение? Горе-то какое».
В этот момент мне звонит служба безопасности Альфа-банка и блокируют карточку. Я мчусь в банк. Все рассказываю: мол, номер карточки продиктовала, а три цифирки — нет, но он и так проник в личный кабинет и все выкачал. Сотрудницы в ужасе, мол, какой мошенник пошел. Смотрим, что у меня в личном кабинете. Денег нет, но выясняется красивое: оказывается, к моему личному кабинету было привязан совершенно левый посторонний номер телефона. Я его не вводила никогда. За пару месяцев до этого обновляла карточку, обратила внимание, что смски по Альфа-чеку не приходят, но была в отъезде. А они вон куда приходили. Каким образом, кто, помимо меня, может привязать номер телефона? Вообще-то только сотрудник Альфа-банка, не правда ли?
Разумеется, я сделала все необходимые действия. Заявление в Альфа-банк о мошеннических действиях и отмене таких-то операций. Нет ответа. Заявление в полицию о мошеннических действиях. Карточка была застрахована, поэтому заявление в Альфа-страхование. Альфа-страхование говорит, что пока полиция не заведет уголовное дело (или не откажет в возбуждении), они не могут начать процедуру. А что полиция. Напомню, дело произошло в конце прошлого августа. Спустя пару недель мое заявление переместилось из Даниловского ОВД в Красносельское. Спустя пару недель вернулось. Потом снова уехало в Красносельское. Опять вернулось. Так было еще раза два. Потом в Хамовники. Потом в Мещанское. Уголовное дело не заведено, но мир мои бумажки повидали.
Дорогой Альфа-Банк, дорогое АльфаСтрахование. Давайте я еще раз коротко. Без моего ведома и участия к моему личному кабинету был привязан посторонний номер телефона. Мошенники проникли в мой личный кабинет, используя его и номер карточки (я им не давала никаких цифр с оборота карточки и никаких кодов из смсок). Вычистили мои счета (а там реально было на лечение, не много, но для меня существенно). Я исполнила все необходимые действия (заявление в Альфу, заявление в полицию, заявление в Альфа-страхование). Прошел без малого год. Я еще не разочарована, но несколько удручена. Пока кажется, что система страхования и служба безопасности дали сбой".
Ответы Альфа-банка:
"Ситуация и правда удручает. Чтобы попасть в личный кабинет, нужен номер телефона, к которому привязан личный кабинет, и номер счета/карты. После этого ещё может потребоваться код из смс, который сообщать никому нельзя, даже если очень сильно просят. Если не сообщали - правильно сделали.
Мобайл одновременно к двум разным номерам не может быть привязан. То есть, если вы смогли войти в приложение со своего телефона, значит приложение было привязано именно к вашему телефону. Тут нужно проверять, каким образом мошенник смог получить доступ к вашим счетам, перевести ваши деньги, и откуда именно он их переводил: со счета или с карты".
"К приложению на момент переводов у вас был привязан тот же номер, который привязан сейчас. То есть, не чужой, а ваш.
Судя по выписке, мошенник переводы делал не через наши ресурсы, а через сторонние сервисы. Тут уже стоит вопрос о том, какие реквизиты требует этот сервис для того, чтобы перевод прошёл. Можем предположить, что достаточно реквизитов карты, для этого и запрашивался трёхзначный код.
В таких ситуациях можем только посоветовать ждать ответа от правоохранительных органов. Они со своей стороны могут направить запрос в банк, а по данному факту банк уже окажет необходимое содействие следствию".
"Выяснили следующее:
Мы отправили на ваш номер телефона смс с паролем для входа, после чего с помощью этого пароля был выполнен вход в приложение.
В смс с паролем всегда предупреждаем, что если вход в приложение или интернет-банк выполнен не клиентом, нужно срочно обратиться на горячую линию.
Вход был произведен по полученным от вас данным.
А если мошенники получили на звонке доступ к приложению, они могли совершать операции по счетам, в том числе изменить настройки для услуги смс-информирования, чтобы перевести деньги по данным карты на других сайтах. Хотим отметить, что данные карты в приложении не пишем, их можно увидеть только на самой карте."
История вторая. Пострадавшая .
"В конце майских праздников, когда все уже расслабились от длительного отдыха, решила выставить на продажу старый шкаф на Авито. Сейчас у меня сложная жизненная ситуация, в начале июня освобождаю жилье и срочно распродаю ненужные вещи. Тут же позвонил вкрадчивым голосом мужчина, представился мебельщиком, втерся в доверие и сказал, что готов купить шкаф.Попросил номер карты, чтобы сразу перевести деньги. Мы как раз делали с сыном уроки, у меня и мысли не было, что меня могут обмануть. Сообщила ему номер карты. Причем сообщила только цифры на лицевой стороне, без пароля и кода CVV. Он уверял, что тут же поступят деньги. Долго совершал какие-то манипуляции. Просил "повисеть" на телефоне.Но деньги так и не пришли. И тут же была снята вся имеющаяся сумма с карты. Там было не так много, 30 тысяч. Все мои деньги. Для кого-то это небольшая сумма, но для меня она критична, так как скоро переезжаю из Москвы и на счету каждый рубль".
Ответ Сбербанка:
"Одного номера карты не достаточно, чтобы мошенники списали деньги. Для этого нужны другие ее реквизиты и подтверждение одноразовым паролем. Без отправки пароля операции не проходят. Зная только номер карты, все, что можно сделать – это перевести на нее деньги, но никак не списать с нее".
Версии произошедшего
У меня несколько версий произошедшего.
Версия первая - троян в смартфоне, который перехватывает входящие СМС, передаёт их мошеннику и удаляет из входящих.
Вторая версия - пострадавшая во втором случае всё же сообщила мошеннику код и забыла это.
Третья версия - мошенник работает в самом банке.
Четвёртая (самая фантастическая) версия - троян внедрён в систему передачи СМС оператора связи.
Что делать?
Прежде всего, никогда не "светить" свой номер, привязанный к банковским картам. Для Авито и других сайтов объявлений обязательно использовать отдельный номер.
Никогда не давать посторонним людям какие-либо реквизиты карты, на которой есть деньги. Если есть необходимость принимать от кого-то деньги на карту, заведите в Сбербанке и не храните деньги ни на ней, ни на других счетах Сбера, доступ к которым есть в онлайн-банке.
Осознавать, что все деньги, доступ к которым возможен через интернет-сервисы, не защищены на 100%. И если что-то случится, ни банк ни полиция скорее всего не помогут.
© 2019, Алексей Надёжин
Комментарии (0)