Сбербанк прошляпил дыру в своей безопасности

Источник
Банк Германа Грефа позволяет мошенниками списывать деньги с карт, даже если неверно указан CCV и дата выпуска.
Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».

В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.

Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.

Звоню по телефону горячей линии. Общаюсь с роботом... жду пока соединят со специалистом...потом со следующим т.к первый оказался не в состоянии мне помочь... примерно через 20 минут удается поговорить.

Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка... Ощущение, что общаешься не с со "специалистом" банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.

Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.

— Вы передавали данные о карте третьим лицам?

— Нет, не передавал

— Тогда, как кто то мог совершить покупку с помощью вашей карты?

— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?

— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.

— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?

— Мы ничего не можем сделать, пишите заявление в полицию

— У вас же на сайте написано про чарджбек

— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные

— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены

— Ничего не можем сделать, пишите заявление в органы

— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?

— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.

— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?

— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу

В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: "Соедините с руководством".

— Крайне недовольным голосом: "Вы будете ждать 10 минут?"

— Да, буду

Вот, кстати, что написано на сайте Сбера по этому поводу

А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ "О национальной платежной системе"

Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.

Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: "если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.

Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк

Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.

Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:

Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:

После короткого диалога, деньги мне обещали вернуть, сославшись на некое "недоразумение". Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.

Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на "программиста". Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.

Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь "больше чем банк" и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)

Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, "служба заботы о клиентах". Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.

Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень "программист" с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.
Персоны Компании
«Песчаный червь»
Как хакеры ГРУ отключали электростанции в Украине, взламывали избирком США и создали самый разрушительный вирус в мире.
Хранить деньги в Сбербанке стало опасно
В Сбербанке обнаружена дыра, позволяющую списывать деньги с карты без кода CVV.
От Билла Гейтса до Андрея Макаревича: главные враги Никиты Михалкова
К 75-летию крупнейшего кинодеятеля России составлена галерея тех, с кем он сражается в своем YouTube-проекте.
Игорь Зюзин доедает Челябинский меткомбинат
ЧМК выдал кредит головной компании в размере 2,5 миллиардов рублей. Сама компания уже давно лежит на боку.
Уголовное дело Юрия Парахина
ряд документов, которые позволили не только продолжить расследование того, как формировался первоначальный капитал Юрия Парахина, но и приоткрыть завесу тайны над реальными масштабами принадлежащей
Китай заблокировал «русский Alibaba»
Министерство промышленности и информтехнологий Китая заблокировало российскую экспортную интернет-площадку Dakaitaowa.com.
Владельцу «Новоуренгойского управления буровых работ» насчитали более 7 миллиардов долгов
Сбербанк и «Россельхозбанк» добивают активы IDS Group, суд утвердил новые требования к компании «Трансмил».
Филарет Гальчев влип в цемент и задолжал Герману Грефу
Успешный в 2000-х олигарх превратился в вечного зомби-должника Сбербанка с невозвратными кредитами на миллиарды долларов.
Герман Греф стал новым паразитом «Союзмультфильма»
Первыми шагами Сбербанка после покупки легендарной студии стал перевод всей «золотой коллекции» советской мультипликации на платную основу.
Топ-менджмент Сбербанка обвинен в групповом изнасиловании
Соратникам Германа Грефа не везет ни в ребрендинге ни в отношениях с женщинами.
Хитрый Кантор обменяет ядовитое производство на валютный кэш
Закредитованный по самое "не могу" бизнесмен Вячеслав Кантор планирует отгрохать завод по госгарантии. Вот только все деньги утекут за границу, а России останется очередное отравляющее производство.
Пока за спиной Воробьев, мэру Мытищ закон не писан
Жители подмосковного города обвиняют власти в коррупции.
У азербайджанцев денег больше: сколько зарабатывают в России диаспоры из враждующих стран
Сервисы знакомств, автомобили, сети ТЦ и продуктовых магазинов — малая часть того, на чем зарабатывают представители диаспор.
Ольга Голодец оказалась итальянкой
Бывшая вице-премьер правительства РФ и заместитель главы Сбербанка оказалась гражданкой Италии, "прописанной" в Милане и покупающей дорогую недвижимость в Лигурии.
Бизнес Андрея Биржина лопнул с неприятным запахом
Одиозный бизнесмен занял у Сбербанка более 6 миллиардов рублей и, скорее всего, взял курс на банкротство своей компании Glorax Group.
Андрей Костин достал Костыгина на островах
Совладелец «Юлмарта» Дмитрий Костыгин получил заочный срок на Британских Виргинских островах за неуважение к суду.
Яндекс зарегистрировал новый логотип «под Сбер»
На прошлой неделе Герман Греф представил публике обновленный логотип госбанка: сине-зеленые часики со стрелками-галочкой и укороченное название – Сбер.
Глеб Франк идет на дно к крабам
На компании РРПК тяжким бременем повис кредит Сбербанку на 1,7 миллиарда долларов.