Как мошенники получают помощь от самих банковских клиентов

Как мошенники получают помощь от самих банковских клиентов

  16 июня 2015   мошенничество,  советы

Люди часто не испытывают особого доверия и предпочитают только при крайней необходимости пользоваться каналами дистанционного обслуживания, считая, что они небезопасны. Но в большинстве случае происходит так, что клиенты помогают себя обворовать, когда сообщают мошенникам, например, данные своей карты.

Клиентка Альфа-банка Нина Фариозова. Благодаря действиям мошенников, лишилась нескольких десятков тысяч рублей, которые лежали на счету кредитной карты. В свою очередь, банк не вернул их, объяснив, что пострадавшая сама сообщила мошенникам всю конфиденциальную информацию о карте. Клиентка частично признала свою вину, однако намерена все же обратиться в суд, так как самый главный пароль – SMS-код подтверждающий проведение транзакции она никому не сообщала и никуда не вводила.

Дочь Фариозовой работает журналистом и понятно, что эта история получила широкую огласку в соцсетях и даже в СМИ федерального уровня. Но все-таки стоит рассмотреть возможные варианты произошедшего.

Клиент уверен, что он не виновен

На телефон Фариозовой пришло SMS-сообщение будто бы от Альфа-банка, в котором содержалась просьба - перезвонить на номер, указанный в сообщении, она так и поступила, а в разговоре сообщила номер своей карты вместе с 3-значным верификационным кодом (CVV2).

Пока она говорила по телефону, пришло еще одно SMS-сообщение, в котором был указан разовый пароль для подтверждения операции, но, как говорит Фариозова, она даже не обратила на него внимания и, тем более, никому не рассказывала и никуда не вводила.

Пообщавшись с «банковским сотрудником», клиентка приняла звонок от уже настоящего сотрудника (это позже было подтверждено официальными представителями банка), который предупредил о подозрительности операции – переводе денежных средств с ее карты на другую с использованием услуги «Онлайн-перевод с карты на карту» на сайте банка. Женщина пересказала ему предыдущий разговор и попросила, чтобы карту заблокировали, но списание денег уже произошло. В тот же день клиентка составила в банк претензию, чтобы тот вернул ей украденные средства, а на другой день – пришла в полицию.

Банк уверен: виноват клиент

После рассмотрения заявления клиентки, банк отказывается вернуть деньги. КлиенткаМошенник намерена идти в суд. Её претензии сводятся к тому, что клиент при переводе денежных средств на сайте банка совершенно не защищен. Банк, если операция признана как «подозрительная», не осуществляет моментальную блокировку карты, в результате чего можно было избежать кражи средств. Таким образом, как считает потерпевшая, столь удачное мошенничество только подтверждает слабую работу службы безопасности банка.

Но в банке не согласны с обвинениями в незащищенности сервиса. По словам Жанны Каплун, пресс-секретаря Альфа-банка, средства невозможно списать с карты, если SMS-пароль не был введен. На основании проведенного внутреннего расследования стало понятно, что деньги были переведены после SMS-подтверждения, которое было отправлено на номер телефона пострадавшей. Выяснить, каким образом код оказался в руках мошенников – уже задача полицейских. По словам представителей банка, после проведения подозрительной операции, с клиентом на связь вышел банковский сотрудник, и карту тут же заблокировали. Благодаря чему будто бы предотвратили хищение оставшихся денег, примерно половины от украденных. Но ситуация, к сожалению, имела место только по вине клиентки, которая, увы, сама доверчиво передала всю информацию о карте мошенникам.

В соответствии со ст. 9 закона 161-ФЗ «О Национальной платежной системе», при использовании банковских карт без согласия клиента, тот обязан не позднее 1-го дня с момента получения сведений о транзакции, вызывающей сомнения, уведомить банк о своем несогласии, а банк обязан возместить сумму транзакции, которая была совершена без согласия клиента. Но как показывает практика, банки не возмещают утраченные деньги при нарушении клиентом правил использования карт.

По мнению главного архитектора Национальной системы платежных карт, автора учебников по банковским картам и безопасности платежей Игоря Голдовского, теоретически можно допустить правоту обеих сторон – что SMS-код все-таки вводился, но сам клиент не виноват. Тут можно допустить 2 варианта развития событий.

Первый: мошенник является сотрудником оператора связи или SMS-центра. Он мог узнать у жертвы сведение о номере карты, сроке действия и CVV2, стать инициатором транзакции и осуществить запуск программы мониторинга запросов банка на отправку SMS-сообщения по номеру карты.

Второй: мошенник является банковским сотрудником, знающим имя клиента и номер его телефона, но не знающим номер карты (по требованиям стандарта безопасности данных платежных карт PCI DSS для банковских сотрудников доступ к номерам карт ограничен). Поэтому ему нужно позвонить жертве, но так, чтобы узнать недостающую информацию, в т.ч. номер карты, после чего уже в банковской системе он увидит запросы – номер карты и комбинацию сформированного пароля.

Но сам эксперт крайне низко оценил вероятность того, что случилась одна из двух вышеописанных схем. Ведь личность злоумышленника в любом случае легко установить, а вопрос состоит в том, сколько клиентов он обманет, пока его не найдут, и оправдан ли его риск? Особенно, если учесть, что на каждой отдельной карте обычно не бывает много денег.

Как считает Голдовский, самое очевидное развитие событий, все-таки в том, что клиент сам озвучил пароль мошенникам. И это вероятно с точностью более 90%. Схема, возможно, была такой: жулик узнал у жертвы номер карты, срок ее действия, верификационный код на оборотной стороне, и сразу же, во время разговора, была инициирована транзакция, а в завершении было сказано что-то вроде: «посмотрите телефон, вам должно было прийти SMS, какое там число?». И все.

СОРМ в помощь

В действительности установить, сообщила ли Фариозова SMS-код злоумышленникам или нет, легко. На протяжении многих лет в России работает «Система технических средств для обеспечения функций оперативно-розыскных мероприятий» (СОРМ). Если говорить кратко, суть ее состоит в том, что все операторы связи в обязательном порядке хранят записи разговоров и SMS-сообщений всех клиентов и выдается эта информация только на основании решения суда. И скорее всего, правоохранительные органы, если они активно расследуют это дело, уже знают, что произошло, и сможет ли Нина Фариозова требовать возмещение средств от банка или придется ждать, пока поймают мошенников, а потом уже адресовать иск им. Однако, увы, надеяться, что деньги будут возвращены после их поимки, не стоит.

Вся ситуация пикантна тем, что карта была кредитной. И потерпевшая стала должником банка – с позиции самого банка, – но логично предположить, что клиентку такой расклад вряд ли устраивает. В банке уже подтвердили, что при невозврате средств к клиентке будут применены стандартные процедуры взыскания, а значит, история еще не закончена.

Как показывает практика, в большинстве случаев мошенники пользуются доверчивостью жертв, а не изощренными технологиями. Вместе с тем, если клиент строго соблюдает правила использования банковских карт, он имеет право рассчитывать на то, что похищенные средства ему будут возмещены, если все-таки карту скомпрометировали не по его вине – к примеру, если ее взяли и унесли в кафе, сделали снимки обеих сторон, а впоследствии воспользовались ею для покупки в интернет-магазине, не работающем с технологией 3D-Secure. Говоря иначе, никому и ни при каких обстоятельствах не сообщайте PIN-код, CVV2/CVC2, срок действия карты и SMS-коды подтверждения транзакций.

Да и в целом, разговаривая не важно с кем о своих финансах, будьте максимально бдительны.


Добавить комментарий
Статьи по теме: