Совершенно дикая история, связанная с дырой в безопасности Сбера. Если автор прав, и все выглядит именно так, то вы только вдумайтесь: с помощью этой платежной системы Stripe можно списать деньги с карты, зная только ее номер. Ни CVV, ни срок действия карты не требуется.
Я помню, что была та же возможность лет десять назад. Схема была такая: знакомые малолетние хакеры создавали сайт-одновдневку, который продает красные квадратики. И, взяв базу карт в даркнете, они просто покупали эти ”красные квадратики”, скачивая их с сайта, а потом выводя деньги через дропа. Оказывается, есть такая дыра и сейчас, ничего не изменилось.
И, конечно, обращает внимание хамско-вальяжное отношение высококвалифицированных сотрудников техподдержки Сбера.
Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».
В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.
Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.
Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.
Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.
Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.
Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.
— Вы передавали данные о карте третьим лицам?
— Нет, не передавал
— Тогда, как кто то мог совершить покупку с помощью вашей карты?
— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?
— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.
— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?
— Мы ничего не можем сделать, пишите заявление в полицию
— У вас же на сайте написано про чарджбек
— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные
— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены
— Ничего не можем сделать, пишите заявление в органы
— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?
— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.
— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?
— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу
В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".
— Крайне недовольным голосом: "Вы будете ждать 10 минут?"
— Да, буду
Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.
Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.
На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.
Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк
Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.
Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными.
Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим (ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.
Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.
Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?
При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.
Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.
Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.
Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.
Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.