Хранить деньги в Сбербанке стало опасно

Источник
В Сбербанке обнаружена дыра, позволяющую списывать деньги с карты без кода CVV.
Совершенно дикая история, связанная с дырой в безопасности Сбера. Если автор прав, и все выглядит именно так, то вы только вдумайтесь: с помощью этой платежной системы Stripe можно списать деньги с карты, зная только ее номер. Ни CVV, ни срок действия карты не требуется.

Я помню, что была та же возможность лет десять назад. Схема была такая: знакомые малолетние хакеры создавали сайт-одновдневку, который продает красные квадратики. И, взяв базу карт в даркнете, они просто покупали эти ”красные квадратики”, скачивая их с сайта, а потом выводя деньги через дропа. Оказывается, есть такая дыра и сейчас, ничего не изменилось.

И, конечно, обращает внимание хамско-вальяжное отношение высококвалифицированных сотрудников техподдержки Сбера.

Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».

В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.

Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.

Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.

Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.

Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.

— Вы передавали данные о карте третьим лицам?

— Нет, не передавал

— Тогда, как кто то мог совершить покупку с помощью вашей карты?

— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?

— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.

— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?

— Мы ничего не можем сделать, пишите заявление в полицию

— У вас же на сайте написано про чарджбек

— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные

— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены

— Ничего не можем сделать, пишите заявление в органы

— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?

— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.

— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?

— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу

В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".

— Крайне недовольным голосом: "Вы будете ждать 10 минут?"

— Да, буду



Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.

Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.

Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк

Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.

Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными.

Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим (ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.

После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.

Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.

Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.
Персоны Компании
«Песчаный червь»
Как хакеры ГРУ отключали электростанции в Украине, взламывали избирком США и создали самый разрушительный вирус в мире.
Игорь Зюзин доедает Челябинский меткомбинат
ЧМК выдал кредит головной компании в размере 2,5 миллиардов рублей. Сама компания уже давно лежит на боку.
Уголовное дело Юрия Парахина
ряд документов, которые позволили не только продолжить расследование того, как формировался первоначальный капитал Юрия Парахина, но и приоткрыть завесу тайны над реальными масштабами принадлежащей
Китай заблокировал «русский Alibaba»
Министерство промышленности и информтехнологий Китая заблокировало российскую экспортную интернет-площадку Dakaitaowa.com.
Владельцу «Новоуренгойского управления буровых работ» насчитали более 7 миллиардов долгов
Сбербанк и «Россельхозбанк» добивают активы IDS Group, суд утвердил новые требования к компании «Трансмил».
Филарет Гальчев влип в цемент и задолжал Герману Грефу
Успешный в 2000-х олигарх превратился в вечного зомби-должника Сбербанка с невозвратными кредитами на миллиарды долларов.
Герман Греф стал новым паразитом «Союзмультфильма»
Первыми шагами Сбербанка после покупки легендарной студии стал перевод всей «золотой коллекции» советской мультипликации на платную основу.
Топ-менджмент Сбербанка обвинен в групповом изнасиловании
Соратникам Германа Грефа не везет ни в ребрендинге ни в отношениях с женщинами.
Хитрый Кантор обменяет ядовитое производство на валютный кэш
Закредитованный по самое "не могу" бизнесмен Вячеслав Кантор планирует отгрохать завод по госгарантии. Вот только все деньги утекут за границу, а России останется очередное отравляющее производство.
У азербайджанцев денег больше: сколько зарабатывают в России диаспоры из враждующих стран
Сервисы знакомств, автомобили, сети ТЦ и продуктовых магазинов — малая часть того, на чем зарабатывают представители диаспор.
Пока за спиной Воробьев, мэру Мытищ закон не писан
Жители подмосковного города обвиняют власти в коррупции.
Бизнес Андрея Биржина лопнул с неприятным запахом
Одиозный бизнесмен занял у Сбербанка более 6 миллиардов рублей и, скорее всего, взял курс на банкротство своей компании Glorax Group.
Андрей Костин достал Костыгина на островах
Совладелец «Юлмарта» Дмитрий Костыгин получил заочный срок на Британских Виргинских островах за неуважение к суду.
Глеб Франк идет на дно к крабам
На компании РРПК тяжким бременем повис кредит Сбербанку на 1,7 миллиарда долларов.
За 3 миллиарда рублей ФСИН поборется с фальшивыми колл-центрами, расплодившимися в колониях
ФСИН решила бороться с заключенными, которые из колоний организуют фальшивые колл-центры и обманывают клиентов банков. Реакция может быть запоздалой: поддельные колл-центры уже активно «переезжают» на волю.
Герман Греф размазал 2,5 миллиарда рублей по градиенту
Как банк Германа Грефа готовил сенсацию года и что из этого вышло.
Михаил Гуцериев остался без пенсии
НПФ «Сафмар» выставлен на продажу.
Участник скам-проекта Децентурион создал кредитную платформу с ВТБ
Кредитная платформа «Юником24» Григория Нака получила в партнеры один из фондов ООО «ВТБ Капитал Пенсионный резерв», под управлением которого 96,4 млрд руб. пенсионных денег, узнал журнал «Компания». Григорий Нак — сын совладельца и гендиректора «Ямалтрансстроя» Игоря Нака, проложившего для «Газпрома» железную дорогу Обская — Бованенково на 19 млрд руб. дороже плана, что обернулось уголовными делами для топ-менеджеров субподрядчиков. А «Юником24» известна тем, что пару лет назад поучаствовала в проекте создания первого в мире блокчейн-государства Децентурион. Теперь доходы от «Юником24» будут получать не граждане Децентуриона, а некие инвесторы, чьи имена не фигурируют в ЕГРЮЛ.