Банки не отстают от народонаселения и предлагают различные услуги типа Мобильного банка, Теле-банка, Интернет-банка и прочих. Естественно, появились различные приложения для смартфонов и планшетов (что часто одно и тоже). Узнать баланс на счету, пополнить баланс телефона, перевести деньги и прочее можно, несильно утруждаясь, прямо в маршрутном автобусе.
Я клиент Сбербанка уже очень давно. Ещё ребёнком родители завели мне сберкнижку и положили на неё 1000 рублей, чтобы когда мне стало 18 лет я мог… Даже не знаю, чем они руководствовались и чтобы я мог по их мнению. Не знаю, на какую сумму они рассчитывали, но пару лет назад я получил по этому счёту что-то около 3000 рублей. Даже не помню сколько точно. Отвлёкся… Как у нормального современного человека, у меня есть дебетовая карта. И так уж получилось, что она сберовская. Раньше она была зарплатная, а сейчас она для оплаты чего-нибудь где-нибудь. Но я не пользуюсь услугой «Мобильный банк», а пользую старые добрые одноразовые пароли, распечатанные на чеке. А всё потому, что мошенники как и все мы тоже перешли в 21-й век и тоже пользуются современными технологиями.
Есть несколько вариантов отъёма средств у населения, о которых я знаю.
Вариант первый. Ушедший
Есть люди, которые до сих пор пользуются древними симками. На эти симки можно сделать дубликат. Обычно это делается, чтобы разговаривать за чужой счёт. Но иногда мошенникам везёт и они попадают на номер, привязанный к «Мобильному банку». Дальше дело нескольких минут. Деньги со счёта карты переводятся на номер какого-нибудь телефона, оттуда на другой телефон, а оттуда на Qiwi-кошелёк, с которого уже на какой-нибудь виртуальный счёт. Отследить цепочку трудно даже сотрудникам органов.
Вариант второй. Покупаем/продаём
Ещё год назад этот способ хорошо работал. Кто-то что-то продаёт через интернет. Марки почтой или блокнот handmade. Звонит (или пишет по почте) некто. «Покупаю! Сразу много! Сбер? Отлично! У меня как раз тоже. Говорите ваши ФИО и номер карты...» Получив номер, мошенники звонят в call-центр Сбера: «У меня сменился телефон, хочу его привязать к Мобильному банку. Моё ФИО такое-то. А вот паспортные данные прямо сейчас не помню. А старый телефон ещё в руках». Далее девочка-операционист предлагают провести некую небольшую транзакцию по счету клиента, а клиент скажет, какая сумма высветилась в SMS-оповещении. Продавцу приходит SMS что на его счёте снято 1 рубль 47 копеек. В это время мошенник звонит продавцу и говорит: «Я тут подумал, вдруг номер карты неточный и отправил небольшую сумму. Сколько там пришло?» Продавец говорит: «1 рубль 47 копеек, но не пришло, а снялось.» Его успокаивают: «Да это чё-то Сбер напутал...» Тут же цифра, прошедшая по транзакции, называется оператору на телефоне, на что та привязывает новый телефонный номер к счёту карты продавца. Дальше всё происходит как и в первом варианте. Деньги исчезают.
Сегодня общался с оператором call-центра Сбера. Спрашивают ФИО, прописку, последние 4 цифры карты, кодовое слово (но если его не знаешь, обычно прокатывает и номер паспорта), прописку. Возможно усилил контроль.
Вариант третий. Хакерский
Об этом варианте предупреждают на сайте Cбера. Сегодня по такому сценарию изъяли деньги у одного моего неблизкого знакомого. У него включен «Мобильный банк» и всегда включена передача данных. Вчера ночью ему пришла SMS с данными о балансе его карты. Он удивился, утром позвонил в Сбер. Там сказали, что вы запросили, система ответила — всё норм. И тут бы начать бить тревогу, но он, похоже, как-то не задумался. Сегодня ночью его телефон запросил баланс и получил ответ от системы Сбера. Потом телефон отправил запрос на перевод денег на левый номер. Получил код с запросом на подтверждение транзакции и ответил на него. Деньги ушли. Но хакеры оказались порядочные. Взяли не всё, а оставили некоторую небольшую сумму на счету. Потерпевший, конечно, написал заявление в Сбер, но там будут рассматривать заявление 45 дней и обязательно требуют написать заявление в полицию.
Почему везде упоминаю Сбер? Потому что у него легче всего провести такие операции. И мошенники этим пользуются. И именно о том, что со счетов Сбербанка спёрли деньги, я знаю, а о других пока мне не говорили.
Именно по этой причине я с самого начала не пользуюсь «Мобильным банком» от Сбербанка. Вчера был первый раз, когда нужно было воспользоваться. Дело в том, что по одноразовым паролям с чека можно оперировать суммами не более 3000 рублей. А мне надо было произвести покупку на 3995. Я наивный хотел включить услугу через сайт, провести оплату и выключить. Но Сбер на такое не согласен. Услугу через сайт я заказал, но активировали её только сегодня, когда уже не надо было. Я хотел было выключить услугу, но оказывается, что через сайт её не выключишь. Нужно либо приходить в офис обслуживания, либо звонить. Причём автоответчик предлагает пройти по веткам столь запутанно, что вот вам комбинация: набираете номер 88005555550, как только сработает автоответчик набираете 3 2 0. Девочка-оператор попыталась отговорить от выключения услуги, напирая на то, что Служба Безопасности банка борется с мошенниками и ситуация, когда у меня украдут деньги, в принципе невозможна, только если я сам кому-то не дам SMS-коды. Настоял на отключении. Запросила кучу инфы, после чего выслала SMS с кодом, отправив который на номер 900 (т.е. ответом на пришедшую SMS) я отправил заявку на отключение услуги «Мобильный банк». Прошло больше 3-х часов, а услуга всё еще не отключена.
Хоть и 21 век, но воруют как и прежде…
Комментарии (31)
timsoid
15.07.2015 17:27+3Кстати тут палка на 2-х концах. Именно мобильный банк присылает СМС что пришли, либо списались деньги.
AWSVladimir
16.07.2015 11:54+2Никакой палки нет, мобильный банк очень удобный.
Лично у меня второй телефон на который приходят смс, но в котором нет доступа в интернет.
Поэтому перехват/фильтрация смс троянами не актуальна.
lostpassword
15.07.2015 17:58+9ИМХО, все зависит от градуса
неадекватностипаранойиздоровой обеспокоенности владельца карты.
Ну пароли с чека, ОК. Все, безопасно?
Наличные в банкоматах снимаете? Скиммеры всегда смотрите?
В магазинах / кафе / АЗС картой расплачиваетесь? Аппаратуру, сотрудников, помещение проверяете?
В онлайн-банк с компьютера заходите? Личного? Он запаролен, ФС зашифрована? На руткиты проверку перед каждой загрузкой проводите?
А ведь могут и тупо на улице подойти, отнять карту и добыть заветный PIN криптоанализом по методу Мордебея.
Как по мне — риски лишиться денег из-за включенного Мобильного банка минимальны (по сравнению с остальными).
Это все я, конечно, со своей колокольни говорю — у меня и в лучшие годы на карте больше 30 000 не задерживалось. Если там тысяч сто лежит — может, и есть смысл заморочиться.
Хотя на кой черт серьезные деньги держать на карте — мне неведомо. Их надо на счет переводить — и риски ниже, и хлопот меньше.Turkish_r Автор
16.07.2015 08:37Одним способом отъёма денег меньше. Суммы большие там не держу, но и маленькие потерять что-то как-то не хочется. Скиммер вживую ни разу не видел, но всегда присматриваюсь к банкоматам чисто из спортивного интереса — вдруг увижу интересную приблуду.
gcooler
15.07.2015 18:44+2Чтобы не пользоваться «Мобильным банком» лично мне хватило того, что они требуют за это платить по 60 рублей в месяц (поправьте меня, если я ошибаюсь).
Argutator
15.07.2015 19:11Есть два пакета — «полный» и «экономный». Первый — с смс-ками о приходах\списаниях по счетам, второй — только смс-ки для подтверждения операций (запрос баланса и т.п. — за доп. плату).
И на maestro\visa electron — 30 рублей в месяц
Hikedaya
16.07.2015 00:15-1Пользовался в свое время «экономным» пакетом. Пришлось уйти на «полный» только лишь потому, что на экономном на телефон не приходили одноразовые SMS-коды при попытке логина через Сбербанк-Онлайн. Зато на «полном» пакете — все как часы. За это Зверьбанку — один минус в карму :(
shalimo
16.07.2015 03:08+4На сайте в разделе «Настройки — Оповещения» можно подключить смс оповещения о списаниях бесплатно и не подключая мобильный банк.
Loki3000
04.08.2015 16:49Подключить-то можно, только вот уведомления приходить все равно не будут на экономном пакете. Уже беседовал с техподдержкой на эту тему.
EnterSandman
15.07.2015 19:43-2Потому что чтобы его подключить надо идти в то отделение где получал карту — за 5000 км от моего текущего местоположения.
kypexin
15.07.2015 19:54+5Почему везде упоминаю Сбер? Потому что у него легче всего провести такие операции.
Странное и спорное утверждение. Я говорю не в защиту конкретно Сбера, а в защиту здравого смысла. Вот посмотрите. По сути, сценариев кражи денег с использованием особенностей мобильного банкинга, то есть привязки мобильного телефона к счёту, по большому счёту пока что существует три больших группы:
- Фишинг с подменой страниц мобильного банка — ну так жертвой стать может почти любой, кто пользуется Андроидом в принципе.
- Замена сим-карты по поддельной доверенности — уже сплошь и рядом :( Это к сожалению больше системная проблема операторов, меняющих симки по поддельным доверенностям или вообще без паспорта.
- Социальная инженерия — «Это служба безопасности Сбербанка, продиктуйте код из СМС» — ну тут вообще без комментариев, это старо как мир и увы не переведутся те, кто сам сообщает непонятно кому свои одноразовые коды.
А в ближайшем будущем нас ждёт ещё и удешевление аппаратуры для перехвата СМС, и когда она будет стоить сопоставимо с теми суммами, которые можно с её помощью украсть у простых людей (условно, 1000 долларов вместо 100.000 долларов) — будет и это.
Так при чём же здесь Сбер?..
MAXXL
16.07.2015 00:32+1Дело может не совсем в Сбере, а в проценте вероятности — больше шансов что у произвольно выбранного человека имеется карта именно Сбера, а не другого банка. А если он с этой картой заходил в Сбер и что-то платил через их терминал, то наверняка девочка-помощница уговорила ему подключить различные опции, «для Вашего удобства»
Turkish_r Автор
16.07.2015 08:40-1Я давно работаю с сфере мобильной связи и только раз слышал о кражах со счетов другого банка. Я не говорю, что только у Сбера воруют, но у него воруют определённо чаще.
lostpassword
16.07.2015 09:36+3Я давно хожу по родному городу и только один раз видел египетского полковника. Я не говорю, что у Египта нет армии, но российских военных вокруг я вижу определенно больше.
Вот данные 2013 года от РБК о выпуске пластиковых карт. Разумеется, что инциденты со Сбером происходят чаще — у него и пользователей больше на порядок, чем у кого-то еще. На порядок.
Пожалуйста, поправьте, если что не так.Turkish_r Автор
16.07.2015 10:13-1Чем мой коммент противоречит вашему?
lostpassword
16.07.2015 13:10+2В целом ничем.
Я просто хотел сказать, что на мой взгляд большое количество инцидентов у Сбербанка связано не с тем, что у него проблемы с безопасностью, а с тем, что у него банально больше клиентов.
kypexin
16.07.2015 12:39Всё так. Например в электронной коммерции доля фрода по картам Сбербанка среди всех российских карт точно выше 50%
teifo
15.07.2015 22:39Для этого я и завел отдельную карту
проституткудля разных оплат в магазинах и интернетах. Сумма денег там всегда небольшая. Мобильный банк эконом. От остальных карт мобильный банк отключил. Да остается вариант через сбер онлайн с личного компа, но я хз как защититься без режима параноика.
DenimTornado
15.07.2015 23:25-1Объясните мне тупому как получилось в третьем варианте? Ну и что, что передача данных включена?
atorero
15.07.2015 23:58Так зловред же из серии «Ваша версия skype устарела, установите новую по этой ссылке».
DenimTornado
16.07.2015 00:02-1Не, не понимаю, как это «Потом телефон отправил запрос на перевод денег на левый номер. Получил код с запросом на подтверждение транзакции и ответил на него.»?
lostpassword
16.07.2015 08:37+1Я так понимаю, что пользователь устанавливает на смартфон с виду легальное приложение, которое в действительности оказывается трояном. Троян при установке запрашивает необходимые для просмотра и отправки СМС права, после чего похищает деньги.
Вот — можете, если хотите, почитать общий обзор мобильных гадостей, сводку про одну из них, детальный ее анализ и детальный анализ еще одной гадости.
А передача данных об операциях по карте действительно ни при чем — благодаря ей жертва просто оперативно узнала, что она pwned.)
atorero
16.07.2015 08:38Вредоносное ПО, попавшее на андроид-смартфон вместе с софтом «из сомнительного источника» по команде (а то и без команды) хозяина отправляет СМС на номер мобильного банка, а затем перехватывает ответы.
Turkish_r Автор
16.07.2015 08:42Вам уже написал — всё дело в ПО. Вы разве не слышали о таких случаях когда телефон отправляет SMS или звонит на номера контент-провайдеров?
aGRa
16.07.2015 09:53+1Заметно больше одного случая знаю, когда у человека истёк срок действия сим-карты, на которую был подключен мобильный банк Сбера, оператор выдал её другому человеку, который после этого начинает получать от Сбера кучу смс с предложением распоряжаться деньгами с чужого счёта. Когда такую сим карту с бывшим чужим номером выдали мне, на то, чтобы объяснить ситуацию службе поддержки Сбера и отказаться от доступа к чужим деньгам, ушло не меньше получаса.
grokinn
16.07.2015 10:33+2Давно уже отключил опцию «быстрый платеж», это делается прямо в сбербанк онлайн, причем мобильный банк отключать не обязательно, пусть смс-ки о списаниях приходят, главное никаких перечислений на номер 900.
Desem
17.07.2015 11:30+1Как то при операциях с наличкой попросили меня карту предъявить, вместо паспорта дескать, и сразу же напечатали мне договор на вышеуказанный мобилсбербанк. Я отказался подписывать. В 4 ночи пришло сообщение что!!! все!!! мои карты блокированы. В итоге через пару недель только перевыпуск карты вернул мне доступ к моим финансам.
coder1cv8
Первый вариант — не такой уж ушедший. Любым номером телефона можно завладеть, имея доступ к ПО сотового оператора (операция замены sim-карты). Нужен сговор с сотрудником одной из будок-сотовых салонов. Конечно, это откровенное палево для мошенников, но учитывая низкую образованность сотрудников этих ларьков, такое случается.
Удобно было бы просто отключить любые списания с карты отправкой sms на номер 900, но при этом оставить оповещения. Но к сожалению, эта опция тупо не работает у Сбера (хотя она и есть).