Наткнулся в фейсбуке на жалобы пострадавших от очень странного мошенничества. У людей украли все деньги со счетов, зная только телефон и номер карты. По словам пострадавших они не сообщали мошенникам коды из СМС, CVV-коды и pin-коды.
История первая. Пострадавшая,
"Меньше года назад, в конце прошлого августа, меня здорово обворовали.
Дело было так. Продаю старый пылесос на Авито, звонок: «Прекрасный пылесос, через час пришлю за ним машину, продиктуйте, пожалуйста, номер карточки». Это ведь, казалось бы, безопасно, не правда ли. Диктую. Тут он хитренько говорит: «А продиктуйте, пожалуйста, три оборотные цифры». Я умная: «Что вы-что вы, пахнет мошенничеством, давайте распрощаемся». А он: «Дарья, вы думаете, они мне нужны, чтоб вас ограбить? ДА Я УЖЕ В ВАШЕМ ЛИЧНОМ КАБИНЕТЕ». Гляжу в Альфа-мобайл. На рублевом счету было примерно 8 тыс. И на моих глазах хоп! — их уже 7, хоп — 5, хоп — 2. Он: «Видите?». Тут я наивно: «Верните-ка, пожалуйста». Он: «А вот для этого мне нужны ваши три цифирки». Я: «Конечно, нет, до свиданья». Он: «Ну, смотрите». В буквальном смысле смотрю и вижу: на долларовом счету деньги с такой же скоростью стали резко уменьшаться, а на рублевом — появляться: в течение нескольких секунд он перевел все доллары на рублевый счет, а потом вывел прочь. Тут я взбесилась, а он: «Ах, это было на лечение? Горе-то какое».
В этот момент мне звонит служба безопасности Альфа-банка и блокируют карточку. Я мчусь в банк. Все рассказываю: мол, номер карточки продиктовала, а три цифирки — нет, но он и так проник в личный кабинет и все выкачал. Сотрудницы в ужасе, мол, какой мошенник пошел. Смотрим, что у меня в личном кабинете. Денег нет, но выясняется красивое: оказывается, к моему личному кабинету было привязан совершенно левый посторонний номер телефона. Я его не вводила никогда. За пару месяцев до этого обновляла карточку, обратила внимание, что смски по Альфа-чеку не приходят, но была в отъезде. А они вон куда приходили. Каким образом, кто, помимо меня, может привязать номер телефона? Вообще-то только сотрудник Альфа-банка, не правда ли?
Разумеется, я сделала все необходимые действия. Заявление в Альфа-банк о мошеннических действиях и отмене таких-то операций. Нет ответа. Заявление в полицию о мошеннических действиях. Карточка была застрахована, поэтому заявление в Альфа-страхование. Альфа-страхование говорит, что пока полиция не заведет уголовное дело (или не откажет в возбуждении), они не могут начать процедуру. А что полиция. Напомню, дело произошло в конце прошлого августа. Спустя пару недель мое заявление переместилось из Даниловского ОВД в Красносельское. Спустя пару недель вернулось. Потом снова уехало в Красносельское. Опять вернулось. Так было еще раза два. Потом в Хамовники. Потом в Мещанское. Уголовное дело не заведено, но мир мои бумажки повидали.
Дорогой Альфа-Банк, дорогое АльфаСтрахование. Давайте я еще раз коротко. Без моего ведома и участия к моему личному кабинету был привязан посторонний номер телефона. Мошенники проникли в мой личный кабинет, используя его и номер карточки (я им не давала никаких цифр с оборота карточки и никаких кодов из смсок). Вычистили мои счета (а там реально было на лечение, не много, но для меня существенно). Я исполнила все необходимые действия (заявление в Альфу, заявление в полицию, заявление в Альфа-страхование). Прошел без малого год. Я еще не разочарована, но несколько удручена. Пока кажется, что система страхования и служба безопасности дали сбой".
Ответы Альфа-банка:
"Ситуация и правда удручает. Чтобы попасть в личный кабинет, нужен номер телефона, к которому привязан личный кабинет, и номер счета/карты. После этого ещё может потребоваться код из смс, который сообщать никому нельзя, даже если очень сильно просят. Если не сообщали - правильно сделали.
Мобайл одновременно к двум разным номерам не может быть привязан. То есть, если вы смогли войти в приложение со своего телефона, значит приложение было привязано именно к вашему телефону. Тут нужно проверять, каким образом мошенник смог получить доступ к вашим счетам, перевести ваши деньги, и откуда именно он их переводил: со счета или с карты".
"К приложению на момент переводов у вас был привязан тот же номер, который привязан сейчас. То есть, не чужой, а ваш.
Судя по выписке, мошенник переводы делал не через наши ресурсы, а через сторонние сервисы. Тут уже стоит вопрос о том, какие реквизиты требует этот сервис для того, чтобы перевод прошёл. Можем предположить, что достаточно реквизитов карты, для этого и запрашивался трёхзначный код.
В таких ситуациях можем только посоветовать ждать ответа от правоохранительных органов. Они со своей стороны могут направить запрос в банк, а по данному факту банк уже окажет необходимое содействие следствию".
"Выяснили следующее:
Мы отправили на ваш номер телефона смс с паролем для входа, после чего с помощью этого пароля был выполнен вход в приложение.
В смс с паролем всегда предупреждаем, что если вход в приложение или интернет-банк выполнен не клиентом, нужно срочно обратиться на горячую линию.
Вход был произведен по полученным от вас данным.
А если мошенники получили на звонке доступ к приложению, они могли совершать операции по счетам, в том числе изменить настройки для услуги смс-информирования, чтобы перевести деньги по данным карты на других сайтах. Хотим отметить, что данные карты в приложении не пишем, их можно увидеть только на самой карте."
История вторая. Пострадавшая
"В конце майских праздников, когда все уже расслабились от длительного отдыха, решила выставить на продажу старый шкаф на Авито. Сейчас у меня сложная жизненная ситуация, в начале июня освобождаю жилье и срочно распродаю ненужные вещи. Тут же позвонил вкрадчивым голосом мужчина, представился мебельщиком, втерся в доверие и сказал, что готов купить шкаф.Попросил номер карты, чтобы сразу перевести деньги. Мы как раз делали с сыном уроки, у меня и мысли не было, что меня могут обмануть. Сообщила ему номер карты. Причем сообщила только цифры на лицевой стороне, без пароля и кода CVV. Он уверял, что тут же поступят деньги. Долго совершал какие-то манипуляции. Просил "повисеть" на телефоне.Но деньги так и не пришли. И тут же была снята вся имеющаяся сумма с карты. Там было не так много, 30 тысяч. Все мои деньги. Для кого-то это небольшая сумма, но для меня она критична, так как скоро переезжаю из Москвы и на счету каждый рубль".
Ответ Сбербанка:
"Одного номера карты не достаточно, чтобы мошенники списали деньги. Для этого нужны другие ее реквизиты и подтверждение одноразовым паролем. Без отправки пароля операции не проходят. Зная только номер карты, все, что можно сделать – это перевести на нее деньги, но никак не списать с нее".
Версии произошедшего
У меня несколько версий произошедшего.
Версия первая - троян в смартфоне, который перехватывает входящие СМС, передаёт их мошеннику и удаляет из входящих.
Вторая версия - пострадавшая во втором случае всё же сообщила мошеннику код и забыла это.
Третья версия - мошенник работает в самом банке.
Четвёртая (самая фантастическая) версия - троян внедрён в систему передачи СМС оператора связи.
Что делать?
Прежде всего, никогда не "светить" свой номер, привязанный к банковским картам. Для Авито и других сайтов объявлений обязательно использовать отдельный номер.
Никогда не давать посторонним людям какие-либо реквизиты карты, на которой есть деньги. Если есть необходимость принимать от кого-то деньги на карту, заведите
Осознавать, что все деньги, доступ к которым возможен через интернет-сервисы, не защищены на 100%. И если что-то случится, ни банк ни полиция скорее всего не помогут.
© 2019, Алексей Надёжин
Комментарии (0)