Накопления
Деньги
Недвижимость
Авто
Жизнь
Бизнес и работа
Россияне зачастую не доверяют банковским каналам дистанционного обслуживания, считая их небезопасными. Однако в большинстве случае клиенты сами помогают себя обворовывать, сообщая злоумышленникам, например, данные своих карт.
Главный редактор
Россияне зачастую не доверяют банковским каналам дистанционного обслуживания, считая их небезопасными. Однако в большинстве случае клиенты сами помогают себя обворовывать, сообщая злоумышленникам, например, данные своих карт.
У клиента Альфа-банка Нины Фаризовой мошенники украли с кредитной карты несколько десятков тысяч рублей. Банк отказался их возвращать, мотивируя тем, что пострадавшая сама раскрыла злоумышленникам все «явки и пароли». Клиент, частично признавая свою вину, тем не менее, уверяет, что самый главный пароль – SMS-код подтверждения транзакции она не сообщала, никуда не вводила и обещает судиться.
Поскольку дочь Нины Фаризовой – известный журналист, то это история получила огласку в социальных сетях и даже в федеральных СМИ. Сравни.ру изучил несколько возможных вариантов произошедшего.
Версия клиента: «Не виноватая я»
Нине Фаризовой поступило SMS-сообщение якобы от Альфа-банка с просьбой перезвонить на указанный в сообщении номер, что она и сделала, а во время разговора сообщила номер своей карты и трехзначный верификационный код (CVV2).
В момент телефонного разговора жертве поступило другое SMS с разовым паролем для подтверждения операции, но, по словам Нины Фаризовой, она его даже не заметила и, тем более, никому не называла и нигде не вводила.
После общения с «сотрудником банка», клиентке позвонил уже настоящий сотрудник (что позже подтвердили официальные представители кредитной организации) и предупредил о подозрительной операции – переводе средств с ее карты на другую карту через услугу «Онлайн-перевод с карты на карту» на сайте Альфа-банка. Женщина рассказала о предыдущем звонке и попросила заблокировать карту, но деньги были уже списаны. В этот же день она написала в банк претензию на возврат украденных средств, на следующий день – обратилась в полицию.
Версия банка: «Сама виновата»
Рассмотрев заявление клиента, банк отказался возвращать деньги. Потерпевшая настроена судиться. Суть ее претензий: система перевода денег на сайте кредитной организации абсолютно не защищает клиента. Банк, признавая операцию «подозрительной», не блокирует тут же карту, что могло бы предотвратить кражу средств. Таким образом, по ее мнению, мошенничество стало возможным в результате слабой работы службы безопасности банка.
Но в банке обвинения в незащищенности сервиса отрицают. «Списание средств с карты без введения SMS-пароля невозможно. Внутреннее расследование подтвердило, что перевод был совершен после SMS-подтверждения, отправленного на номер телефона Нины. Выяснение, как этот код попал в руки мошенников – уже дело полиции», – комментирует ситуацию Жанна Каплун, пресс-секретарь Альфа-банка. По словам представителей кредитной организации, после проведения операции, которая была определена как подозрительная, с клиентом связался сотрудник банка, и карта была оперативно заблокирована. Благодаря этому якобы удалось предотвратить хищение оставшейся части средств, примерно равной украденной. А сама ситуация, к сожалению, возникла исключительно по вине клиентки, которая, увы, добровольно передала все данные мошенникам, сыгравшим на ее доверчивости.
Согласно ст. 9 закона 161-ФЗ «О Национальной платежной системе», в случае использования банковских карт без согласия клиента, тот обязан не позднее одного дня с момента получения информации о спорной транзакции направить уведомление о своем несогласии в банк, который обязан возместить сумму операции, совершенной без согласия клиента. На практике банки не возмещают средства, если клиент нарушает правила использования карт.
Игорь Голдовский: «Почти уверен, что даму развели»
Главный архитектор Национальной системы платежных карт, автор учебников по банковским картам и безопасности платежей Игорь Голдовский в теории допускает, что правы обе стороны – что SMS-код был все-таки введен, но сам клиент ни при чем. Возможны два варианта.
В первом случае мошенник – сотрудник оператора связи или SMS-центра. Он мог выудить у своей жертвы номер карты, срок действия и CVV2, инициировать транзакцию и запустить программу мониторинга запросов банка на отправку SMS по номеру карты.
Во втором случае мошенник – сотрудник банка, который знает имя и телефон клиента, но не знает номера карты (согласно требованиями стандарта безопасности данных платежных карт PCI DSS доступ к номерам карт сотрудникам банка ограничен). Поэтому ему нужно организовать звонок жертве и выяснить недостающие данные, включая номер карты, после чего он уже в банковской системе сможет увидеть запросы – номер карты и сформированный пароль.
Однако эксперт оценивает вероятность того, что имела место одна из двух вышеописанных схем как крайне низкую. Все-таки личность мошенника в обоих случаях легко устанавливается, поэтому вопрос заключается в том, скольких клиентов он успеет обмануть, пока его не вычислят, и стоила ли, как говорится, овчинка выделки, то есть риска? С учетом того, что на каждой отдельной карте средств обычно бывает не так уж и много.
Наиболее очевидный вариант, по мнению Игоря Голдовского, заключается все-таки в том, что клиент сам назвал пароль злоумышленникам. Вероятность этого, по его мнению, выше девяноста процентов. Схема, скорее всего, выглядела так: жулики выпытали у жертвы номер карты, срок ее действия, верификационный код на оборотной стороне, тут же, во время разговора, инициировали транзакцию и в завершении сказали что-то вроде: «Вы должны были получить SMS, назовите число». Все, дело сделано.
СОРМ в помощь
На самом деле, выяснить, сообщала Нина Фаризова SMS-код мошенникам или нет, весьма просто. Уже много лет в нашей стране действует «Система технических средств для обеспечения функций оперативно-розыскных мероприятий», или СОРМ. Вкратце суть ее в том, что все операторы связи обязаны хранить записи разговоров и SMS-сообщений всех своих клиентов и выдавать эту информацию по решению суда. Думается, правоохранительные органы, если они действительно активно занялись расследованием этого дела, уже знают правду, от которой зависит, получится ли у Нины Фаризовой потребовать возмещение средств от банка или же придется ждать поимки мошенников и иск адресовать уже им. В последнем случае, увы, возлагать слишком большие надежды на возврат денег не приходится.
Пикантность ситуации в том, что карта была кредитная. Таким образом, Нина Фаризова стала должником банка – с его точки зрения, – но логично предположить, что сама она с такой постановкой вопроса не согласна. В банке уже подтвердили, что в случае невозврата средств клиентом, будут использованы стандартные процедуры взыскания, а значит, история обещает получить продолжение.
Практика показывает, что в подавляющем большинстве случаев мошенники используют доверчивость своих жертв, а не изощренные технологии. Кроме того, в случае строгого соблюдения правил использования банковских карт, клиент вправе рассчитывать на возмещение похищенных средств, если все-таки карта была скомпрометирована не по его вине – например, если ее взяли и унесли в ресторане, сфотографировали обе стороны, а потом использовали для покупки в интернет-магазине, не поддерживающем технологию 3D-Secure. Другими словами, никому и ни при каких обстоятельствах нельзя сообщать PIN-код, CVV2/CVC2, срок действия карты и SMS-коды подтверждения транзакций.
И вообще, при любом разговоре с кем бы то ни было о своих финансах следует включать режим «Бдительность». По-другому никак.