Безопасность банковских карт

Кто что думает на эту тему?

Хитрость мошенников не знает границ. Недавно появился новый вид мошенничества, при котором злоумышленники могут украсть деньги с вашей карты Сбербанка

Идея в том, что у Сбербанка есть неотключаемая функция перевода денег на счёт своего телефона с помощью СМС. В сутки можно перевести до 10000 рублей с привязанной карты без всякого подтверждения, отправив СМС, в которой указана сумма в рублях, на номер 900. Злоумышленники по поддельному паспорту (или в сговоре с работниками салона мобильной связи) перевыпускают симку, тут же вставляют её в телефон, переводят на счёт телефона деньги с карты, а затем выводят эти деньги через любые системы платежей.

Изначально об этой опасности я узнал из сообщества о мошенничестве ru_fraud.
Такая история с симкой Мегафона была описана на Хабрахабре, но пост по неизвестным мне причинам удалён и автор забанен. Копию и комментарии можно почитать тут:  https://sohabr.ru/post/233913. 
Важный момент. У Мегафона при перевыпуске симки на старую симку приходит странное сообщение «Внимание, по вашему номеру в Салоне МегаФон запрошена информация. Если Вы не обращались в Салон МегаФон, просьба сообщить об этом, отправив смс с текстом САЛОН на номер 0500 (бесплатно).13/08/2014, 20:05:11».

В комментариях к тому посту отметился человек, у которого то же самое произошло с симкой МТС:
"Та же история, только опсос — МТС, а умудрились не только увести деньги с сбера (при этом 10 ушло на симку а 10 — в фонд «Подари жизнь», такие-вот «благородные» воры), но и с Яндекс.Деньги (может кто-нибудь знает как, пароль не сменили, пароль уникален для Яндекс.Денег и нигде не светился, куки покрасть тоже не могли).
В моей ситуации МТС поступили просто свински — сначала рассказывали что сим-карта «размагнитилась» и её надо заменить, потом не хотели соединять с службой безопасности, в итоге потребовал заблокировать симку (пока на ней ещё лежали 10000 рублей) — они заблокировали так, что злоумышленники её снова разблокировали и увели куда-то деньги. 

Суммарно увели около
Как предотвратить подобную ситуацию? 
При получении странных смс от оператора немедленно реагировать
Отключить «быстрый платеж», для этого нужно отправить СМС с цифрой 0 на номер 900. Тогда хотя бы нельзя будет СМСками переводить деньги на чужие телефоны и другие карты.
Задуматься о том, пользуетесь ли вы ещё какими-либо финансовыми сервисами, у которых для авторизации платежей достаточно ввести код из смс.

Несколько добавлений.
Многие банки (в том числе и Сбербанк) отслеживают смену симки по IMSI ( https://ru.wikipedia.org/wiki/IMSI), однако почему-то это работает далеко не всегда. В комментариях отметилось несколько человек, у которых после смены симки потребовалось заново привязывать телефон к онлайн-банку и несколько человек, у которых после смены симки всё продолжало работать.

Проблема оказалась намного глобальней. У Сбербанка по умолчанию всем клиентам «Мобильного банка» подключена функция «быстрый платеж», которая позволяет с помощью СМС отправлять деньги на любой телефон и на другую карту. Чтобы отключить эту возможность нужно отправить СМС с цифрой 0 на номер 900. Пополнение своего номера СМСкой на номер 900 отключить нельзя.

Даже если всё это отключить, злоумышленник сможет зайти в ваш онлайн-банк Сбербанка, если просто узнает ваш логин и сбросит пароль с помощью имеющегося у него телефона с вашим номером.
Множество систем позволяют совершать платежи, авторизуясь просто по СМС. Например, это Webmoney и QIWI.

Во многих системах достаточно просто менять пароли, имея доступ к телефону с вашим номером. Причём это не только платёжные системы. Злоумышленники могут легко увести у вас почту на известных почтовых сервисах и аккаунты в соцсетях, ведь восстановление пароля всегда построено на СМС или почте, которую можно увести с помощью СМС
Получается, что номер мобильного телефона сейчас стал ключом ко многим важным системам, а украсть этот ключ проще простого.

Как клиенту Сбербанка и Мегафон неожиданно для себя лишиться честно заработанных денег? 


Подходил к концу очередной длинный рабочий день, среда 13 августа 2014 года выдалась действительно непростая, но в 8 часов вечера я находился уже в полу расслабленном состоянии – оставалось завершить кое-какие мелкие дела и можно идти домой. Гармонию вечера нарушило странное сообщение с сервисного номера оператора Мегафон:
«Внимание, по вашему номеру в Салоне МегаФон запрошена информация. Если Вы не обращались в Салон МегаФон, просьба сообщить об этом, отправив смс с текстом САЛОН на номер 0500 (бесплатно).13/08/2014, 20:05:11».
«Вот опять – СМС спам с короткими номерами, предлагающий подарить чуть-чуть своих денег непонятно кому» — первое, что пришло мне в голову. Бросив взгляд на смартфон, попутно набирая в поисковике содержимое смс, чтобы убедиться в фейковости сообщения, я обнаружил, что сигнал сотовой сети пропал, а из результатов поиска выходило, что номер 0500 действительно принадлежит компании «Мегафон»… Вот тебе раз, приехали.

Следующие 20 минут я потратил на попытки дозвониться до реального человека «горячей линии» Мегафон по телефону 8-800-550-05-00, может быть, свою роль сыграл городской номер, с которого я пытался дозвониться, но меня упорно не хотели переводить с робота на человека. В итоге, где-то в 20:25 я все же связался с девушкой из корпоративного отдела (при этом пострадавший номер оформлен на физическое лицо), после объяснения сути проблемы сотрудник мегафон вежливо предложила перезагрузить телефон, после чего проверила состояние близлежащих вышек и резюмировала – смс банальная ошибка, никак не связанная с отключением телефона от сети. Лечение простое – мой номер был «передернут», поэтому нужно выключить телефон и включить его минут через пятнадцать, все должно прийти в норму. На мои просьбы посмотреть, нахожусь ли я в данный момент в сети и если да, то, в каком месте – девушка ответила, что не может этого сделать, однако предложила составить по телефону заявление в службу безопасности компании «Мегафон», что и было сделано.

На всякий случай я проверил основные аккаунты платежных систем и различных сайтов, аномальной активности обнаружено не было – что ж, времени было уже за 9 часов вечера, нужно было идти домой.
Как вы догадались, через час, приехав домой и, включив телефон, сети на устройстве так и не было обнаружено, а на дисплее красовалась скупая надпись – «услуга ограничена». Снова набрав номер 8-800-550-05-00, я попал на оператора через меню блокировки номера, после краткого изложения проблемы меня перевели на другой уровень поддержки, где мне пришлось в стать в очередь. Прошел час ожидания, но трубку на том конце брать никто не хотел – «что ж, зайдем с проверенной стороны», подумал я, после чего снова набрал номер 8-800, но в меню выбрал корпоративную поддержку. Через десять минут ожидания со мной заговорил молодой человек, который, выслушав в подробностях мою историю, сказал, что моя симкарта, оказывается, была перевыпущена и, вопреки заверениям девушки из того же отдела, ничего собой не разрешится, а сама ситуация очень даже стоит того, чтобы начать волноваться – на лицо факт попытки мошенничества. Оператор заблокировал мою симкарту, рассказал, что необходимо прийти в офис мегафон и написать заявление с претензией к офису, где была без моего ведома перевыпущена симкарта и, кроме всего прочего, еще раз перевыпустить симкарту.

Утром следующего дня я зашел в офис «Мегафон», где немало удивил своей историей сотрудников офиса, на месте я перевыпустил симкарту, получил выписку по номеру, а также написал заявление в службу безопасности компании «Мегафон». Выяснилось, что симкарта была выпущена в городе Талдом Московской области, в салоне Телеком Центр по адресу ул. Калязинская, 49а, после чего с моего номера были отправлены и получены смс со следующих номеров:


К сожалению, сотрудники «Мегафон» не могли мне предоставить текст этих СМС, неужели у них нет такой технической возможности? Естественно, увидев короткий номер 900, я проверил состояние счета моей сбербанковской карты – так и есть, пропали 200 рублей из 230 доступных, «какие мелочные ребята», подумал я.

Далее был звонок в поддержку Сбербанка, где мне заблокировали банковскую карту, а также посоветовали написать заявление о неправомерном списании средств с банковской карты, перевыпустить саму карту и обратиться в полицию. Что интересно, оператор сообщил, что злоумышленники пытались перевести на номер мобильного телефона сначала 10 000 рублей – не хватило средств на счету, потом 8 000 рублей – аналогичная история, и так далее, пока не дошли до 200 рублей. К сожалению, на какой номер злоумышленники пытались перевести деньги оператор не смог мне сообщить, чуть позже, проверив баланс мобильного телефона я понял на чей номер злоумышленники пытались перевести деньги – на мой собственный.

Что ж, несколько дней спустя я сумел добраться до отделения, в котором я получал карту (а обращаться нужно именно в него), перевыпустил карту, а вот заявление мне дали типовое, в котором предполагается вернуть похищенные злоумышленниками деньги, все бы ничего, но мои деньги-то у меня же на телефоне. Кроме того я попытался выяснить, что же за коды отправлялись на номер 900, а лучше даже получить выписку, но в банке меня уверили, что такой информации у них нет и нужно обращаться к оператору связи (который, кстати, тоже не может посмотреть текст смс). Интересно, а как же оператор поддержки смог узнать, какие суммы злоумышленники пытались снять, наверное, он потомственный ясновидящий.
Далее мой маршрут проходил через отделение Полиции. Посещение отделения Полиции для меня было в диковинку (Милицию, правда, в свое время посещал достаточно часто, так как в студенчестве был в Народной Дружине), интересно, что дежурный, спрашивая цель моего визита, после слов «перевыпустили симкарту» опередил меня, выпалив «перевели деньги с карты сбербанк?» и, увидев мой утвердительный кивок, протянул два листочка – заявление и объяснительную. 

После того, как я просунул в окошко два исписанных листочка, дежурный сделал запись в журнале, выдал мне регистрационный номер заявления и отправил домой, со словами «с вами свяжутся».
Сегодня, 19 августа, я получил СМС от «Мегафон» о том, что специалисты компании работают над моим обращением и доложат мне о результатах в течение ближайших 9 дней, само обращение я написал 5 дней назад. Интересно, когда со мной свяжутся из Полиции?
Само собой, мне стало интересно, как же злоумышленники пытались вывести мои деньги, внимательный читатель наверняка заметил в выписке короткий номер 7494, который, как оказалось, принадлежит QIWI. Если хорошенько поискать, то в Интернете можно найти упоминания о похожих случаях – каким-то образом мошенник получает доступ к номеру «Мегафон» жертвы, через мобильный банк Сбербанка отправляет на телефонный счет жертвы кучу денег, потом регистрирует жертву в QIWI и выводит деньги с телефонного счета на QIWI кошелек, ну а дальше на свой анонимный кошелек. При этом: нет никаких процентов при переводах, не нужно никаких дополнительных данных (типа четырех последних цифр карты жертвы, как при переводе на чужие счета), все действия занимают 5-10 минут (что видно из детализации по номеру, когда я первый раз дозвонился до поддержки «Мегафон» — уже все было сделано).

То, что схема, по сути, использует «фичи» Сбербанка (удобство заплатить за привязанный телефон) и «Мегафон» (беспроцентный перевод на QIWI кошелек со счета номера телефона) вызывает во мне не столько эмоций, сколько тот факт, что кто-то без моих паспортных данных, нагло, быстро и беспроблемно смог перевыпустить мою симкарту – вот что меня бесит и действительно беспокоит, ведь относительно недавно, на пострадавшей карте Сбербанка, у меня лежало около 100 000 рублей, скопленные на медицинские расходы, что было бы, если все эти действия мошенники провернули в тот период? Какова вероятность того, что мне вернули бы похищенные деньги?

В общем, если уважаемой публике будет интересно, то по мере поступления новой информации от компании «Мегафон» и Полиции (что-то мне подсказывает, что на Сбербанк рассчитывать вообще бесполезно) я продолжу повествование об этой попытке украсть мои честно заработанные 200 рублей.

Всем хорошего вечера и будьте бдительны!

P.S.: Вот сейчас, прокручивая все эти события в голове, я вспомнил, как в офисе «Мегафон» после восстановления контроля над своим номером, мне позвонил неизвестный номер +7 937 394-21-ХХ, мужчина в трубке попросил к трубке какого-то Вована, в тот момент я был занят составлением претензии и не обратил на это внимания. Но вот сейчас я задумался, а не связан ли этот номер со всей этой историей? На всякий случай передам его в Полицию, как со мной свяжутся.

А у вас выпускают аэрофлотбонус? 

Тогда я иду к вам! Серьезно, я хочу заказать у вас карту.

Мошенничество с картами Альфа-банка 

"Ну вот, друзья. Рассказываю. С маминой карты были списаны деньги. Много. Она, конечно, попалась на русскую игру: "Застань человека врасплох, представься по телефону сотрудником банка и получи номер карты и квер-код."

Но. Этого оказалось достаточно, чтобы на сайте Альфа-Банка перевести деньги с карты на карту. Конечно, на телефон ей пришло смс. С паролем, который нужно было ввести на сайте, чтобы средства перевелись. Пароль она не вводила, а сразу позвонила в службу поддержки.

Ей подтверили, что она говорила с мошенниками. Но на следующий день средства списались. Вывод первый: "Крыса" сидит в самом банке, в самом "низу" и торгует информацией о картах клиентов.

Вывод второй: вы можете оказаться умнее, не обмануться, не диктовать номер карты мошенникам, которые представились сотрудником банка.

Вы можете просто крутить в руках карту у кассы. Или отдать ее официанту, расплачиваясь в ресторане. Или потерять, внимание, БЕЗ пин-кода.

Он не нужен, как оказалось.

Потому что сайт Альфа-банка, безо всякого личного кабинета, просто на главной странице позволяет перевести деньги с карты на карту имея в наличии номер и трехзначный код.

Не нужно ни имени, ни фамилии, ничего. И даже если на смс с паролем, который защищен по 3D технологии вы не ответите, никуда его не введете и вообще никак не отреагируете, деньги все равно спишут. Потому что, видимо, вторая "крыса" сидит в компании оператора связи. И считывет информацию в смс.

А теперь, Маша, о главном. Банк рассмотрел претензию на возврат средств и отказал. Рассмотрел он ее за полдня. Уже заведено уголовное дело. Есть его номер, мы его предоставили в банк.

Есть все заявления и данные по операциям. Банк все равно отказал. Мы сегодня написали вторую претензию, и теперь будем ждать от 30 до 60 дней. Я понимаю прекрасно, что банк - это такая специальная штука, которая не для людей.

Я понимаю, что можно включить тучу ресурсов, которые у меня, например, есть. Ну я в конце концов журналист и у меня много разных друзей и знакомых во власти. Но я понимаю, что какая-нибудь Тамара Васильевна, у которой вот так деньги украли, не сможет включить никакие ресурсы, а просто получит отказ и даже в суд не пойдет, потому что с банком бороться - на это надо силы и средства иметь."

 Убедившись, что звонок на эти номера не слишком платный, я позвонил по указанным номерам, типа я такой взволнованный пользователь. Там отвечает «оператор» хорошо поставленным голосом. Жулик выясняет, есть ли у меня банковские карты и главное — есть ли среди них карта Сбербанка. Первый меня откровенно спросил, есть ли у меня там деньги, больше 1000 руб или меньше. Я честно ответил, что на моей карте Сбера 1000 рублей не наберется. Он немедленно потерял ко мне интерес и сообщил «ваша карта скоро заработает, всего доброго». Я удивился: откуда вы знаете, вы же не спросили даже мое имя? Но он уже повесил трубку.

Номер из другой sms о наличии денег меня не спрашивал, а сходу попросил продиктовать номер карты. Не вопрос, я продиктовал. Тогда жулик сообщил, что теперь необходимо удостовериться, что я владелец. Поэтому владельцу карты будет отправлено sms с кодом, который я должен ему продиктовать. И в ту же секунду мне действительно с номера 900 Сбербанка пришло такое: 
 
Я ему конечно код продиктовал. Но конечно не совсем тот, что был прислан Сбербанком. Жулик его набрал, переспросил два раза и ответил, что код не подходит. «Что делать будем?» — поинтересовался я, и он тут же повесил трубку.

Мораль: не знаю точно, что это было (видимо, попытка получить доступ к чужому счету), но знайте сами и еще раз скажите своим пожилым родным и недальновидным друзьям: НИКОГДА нельзя сообщать никому коды, присланные в sms, а также отдельные 3 цифры на обороте пластиковой карты.

А вот почему жуликами не занимается служба безопасности Сбербанка и правоохранительные органы — большая загадка Российской Федерации. Ведь жулики абонируют телефонные номера в России и даже целые линии 8-800, а это не так просто сделать без улик. И работать жуликам никто не мешает — первый sms на моей фотке от 6 числа, но звонил я сейчас, и жулик до сих пор отвечает.

http://lleo.me/dnevnik/2015/06/08.html

В Тинькове точно эта информация отображается в личном кабинете. Можно и самому в этом кабинете прописать страну, в которую собираешься, но мне обычно лениво в компе ковыряться, я предпочитаю позвонить и предупредить.

Поэтому я спросила подругу - сотрудницу банка, как быть? Могу ли я предьявить претензии банку, который меня оставил без денег? Она сказала, что нет, что банк правомочен при подозрительных транзакциях блокировать карту, и  тут на форуме давала где-то совет: засветить карту в дьюти фри. 

Лично я буду все деньги (у меня зарплата поступает на карту ВТБ) снимать и класть на счета банков с репутацией.

Мы состряпали жалобу, но все равно гнев душит, хочу поделиться.

Получается, что разницы нет - носить деньги в кармане или на карте ВТБ, если такая хреновая  защита и такое отношение к клиентам