facebook_pixel
  • 24 июля 2020, 10:47

    Украсть без пароля. Мошенники научились выводить деньги через «Сбербанк Онлайн» в обход защитного кода

    Россияне жалуются на кражи денег с карт Сбербанка через онлайн-сервис. Клиенты не получают push-уведомлений о переводах средств или SMS с кодами для подтверждения оплаты покупок. А просто внезапно узнают, что счет опустошен мошенниками.

    Закупиться за чужой счет

    Москвичка Марина Зайцева стала жертвой мошенников, о чем рассказала в Facebook. Обнаружив, что злоумышленники взломали ее «Сбербанк Онлайн», женщина позвонила в кол-центр и попросила заблокировать счета. Оператор сказал, что сделал это. Но всего через несколько минут Зайцева получила SMS об оплате ее карточкой покупок на 51 990 рублей на сайте «Беру.ру». Хотя 3dsecure-код для подтверждение оплаты ей не приходил.

    Повторный звонок в кол-центр принес неутешительные новости. Карта оказалась не заблокирована, деньги списали. На все претензии сотрудница посоветовала Наталье обратиться в полицию. В партнере Сбербанка маркетплейсе «Беру.ру» тоже не смогли помочь Марине. Сотрудница нашла заказы и начала их было отменять.

    «Потом просит вдруг неожиданно меня подождать и через пять минут сообщает, что она ошиблась! И она не видит эти заказы, которые она видела только пять минут назад и, более того, начала их отменять! И она советует мне обратиться в полицию», — добавила Наталья.

    Запретить уведомления

    У 69-летнего пенсионера, бывшего программиста Сергея Сидорова (фамилия изменена) мошенники украли 30 тысяч с кредитной карты. Злоумышленники вошли в его «Сбербанк Онлайн» с нового номера телефона. На пенсионной карте «Мир» денег почти не было. Поэтому мошенники добавили свой номер в список для отправки уведомлений об операциях по кредитке и отключили сообщения на номер Сергея Викторовича. Это может сделать любой клиент банка или мошенник.

    Украсть без пароля. Мошенники научились выводить деньги через «Сбербанк Онлайн» в обход защитного кода | Изображение 1

    «Как можно оставлять возможность отключать основной телефон? Объяснение от Сбербанка: „А вдруг вы потеряли телефон“? Да если кто-то потерял, пусть побегает кругами, пока все не переоформит! Но разрешать всем такое делать нельзя!» — возмущается Сергей Викторович.

    В даркнете свободно продаются номера карт. А подобрать срок действия и CVV-код для современных хакеров не представляет труда. Собеседник «360» не называл никому свои банковские данные, а карточкой пользовался только для оплаты парковки. Поэтому полагает, что именно через номер карты злоумышленники попали в его «Сбербанк Онлайн».

    После этого мошенники похитили 30 тысяч рублей с карты. Затем попробовали вывести еще 58 тысяч, но помешал ежедневный лимит. Попытки продолжались несколько дней. К сожалению, как и многие его ровесники, Сергей Викторович редко читает SMS. И заметил неладное, когда деньги были украдены. Сейчас пенсионер написал заявление в службу безопасности банка и собирается обратиться в полицию.

    «Перевод был из Сбербанка на счет в Сбербанке. И мне служба поддержки сказала, что они не могут отменить этот платеж. Сейчас счета заблокированы, я ничего не могу сделать. А там же большие проценты капают за пользование кредитными деньгами. А проценты, как я понимаю, они сейчас с удовольствием в свой карман считают», — заключил Сергей Викторович.

    Обновление от 28 июля 2020 года: по словам сотрудника пресс-службы Сбербанка Анастасии Гулы, они не фиксируют массовых жалоб на кражи денег через приложение. Помимо фрод-мониторинга, для повышения безопасности организация использует одноразовые пароли для подтверждения рисковых операций. Например, при онлайн-покупках по банковским картам подтверждение с помощью пароля требуется при каждой операции.

    «К сожалению, клиенты нередко пренебрегают требованиями кибербезопасности и разглашают мошенникам реквизиты карт и пароли. Это дает возможность злоумышленникам не только совершать операции от имени клиентов, но и подключать новые услуги, активировать бесконтактные платежи и регистрироваться в мобильном приложении „Сбербанк Онлайн“», — добавила Гула.

    Возможность для мошенников

    Если банк дает возможность перевести отправку уведомлений и 3dsecure-кодов на другие номера, то мошенники вполне могут этим пользоваться, согласился руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике Евгений Лившиц.

    «Что касается подбора срока действия и покупки номеров карт в даркнете, то там продаются данные карт уже со сроком действия. Никаких проблем с этим нет. К сожалению, этих утечек много. Зачастую они связаны с сотрудниками банков. Они принимают в этом непосредственное участие», — утверждает эксперт.

    В ситуации с Мариной Зайцевой Лившиц предположил, что хищение произошло из-за нерасторопности сотрудницы Сбербанка. Если клиент обратился с просьбой заблокировать карту из-за угрозы кражи средств, это нужно делать молниеносно. Хотя многие кредитные организации самостоятельно блокируют счета при попытках подозрительных транзакций.

    «Такие случаи происходят ежедневно. Объективной статистики нет, а та, что есть, точно кратно хуже. Сами банки эту информацию не сообщают, для них это большие репутационные потери, для стоимости акций тоже. В правоохранительные органы обращается маленький процент людей, потому что понимают, что вероятность успеха близка к нулю», — заключил собеседник.