У новосибирца Сергея Русских украли с банковской карты более ста тысяч рублей. Но случай этот не рядовой — не из тех, когда звонят мошенники, усыпляют бдительность, а потом выведывают трехзначный код на обороте кредитки или просят сообщить номер из пришедшего СМС. Всё было совсем не так. 1 мая Сергею пришло на телефон странное Push-уведомление. Он позвонил в банк ВТБ, чтобы предупредить о подозрительном сообщении, но уже через две минуты, сам того не подозревая, начал терять деньги со своей карты. Корреспондент НГС Илья Калинин восстановил поминутно, как произошло хищение, выяснил, куда ушли деньги, и получил комментарий банка.
Странное сообщение и звонок в банк
Новосибирец Сергей Русских 1 мая был за городом. В 11:35 на свой телефон он получил сообщение от ВТБ, что какой-то Samsung SM-А115F подключен к Push-уведомлениям. Так как мужчина не делал таких запросов и, более того, у него не было никакого устройства марки Samsung, Сергей Русских позвонил в банк ВТБ. Это случилось в 11:38.
— В банке сказали, чтобы я не переживал, что они примут меры. Но толком ничего не объяснили, приняли обращение, и всё. Сказали, что разберутся и карту заблокировали. Потом я решил посмотреть, сколько там денег на карте. Захожу в онлайн-банк, а мне программа отвечает, что в данный момент [войти] невозможно: какие-то работы ведутся или что-то там такое. Ну я поначалу внимания на это не обратил, а потом, через несколько часов, снова решил позвонить в банк и уточнить баланс. Мне сказали, что на карте три или четыре с чем-то тысячи. И тут я призадумался: вроде бы раньше денег было больше, а покупок я никаких не делал, — рассказал корреспонденту НГС Сергей Русских.
Пока Сергей разговаривал с банком первый раз, в ВТБ в целях безопасности ограничили доступ к его онлайн-банку. Сообщение об этом пришло на телефон мужчины в 11:44. Чуть позже, уже во время второго звонка, когда выяснилось, что с карты всё же пропало 104 300 рублей, банковский работник сообщил Русских, что деньги списывались с его карты два раза. Причем произошло это очень быстро — в течение восьми минут с момента получения странного сообщения о подключении устройства марки Samsung.
Как и куда мошенники перевели деньги
За первый заход мошенники сняли с карты Сергея Русских 80 тысяч рублей. Это было электронное платежное поручение на расчетный счет южного филиала ПАО «Росбанк» в Ростове-на-Дону. Мошенники заполнили необходимые банковские реквизиты: номера счетов, БИК, ФИО и так далее. Пометка в платежном поручении указывала, что это был якобы возврат долга. Получателем обозначен некто Белый Вадим Сергеевич. Платеж банк зафиксировал в 11:40 — через пять минут после странного сообщения и через две минуты после начала разговора Сергея с банковским работником. За эту операцию ВТБ снял с карты Русских 320 рублей.
За второй раз мошенники вывели сумму в 24 300 рублей. Это уже был обычный перевод на другую банковскую карту, и произошел он через три минуты после похищенных 80 тысяч — в 11:43.
У обманутого клиента приняли претензии в банке по телефону и пообещали разобраться в ближайшее время. Непосредственно в банк Сергей Русских попал только после майских праздников: по итогам его личного обращения 11 мая в 20:53 ему приходит сообщение об отключении услуги 3DS-SMS — получение одноразовых паролей через SMS-сообщения, а в 21:17 сообщают о блокировке банковской карты. В сообщении, которое пришло из банка, указано: «В связи с подозрением на доступ третьих лиц и для сохранности ваших средств карта заблокирована».
— В общем, с 11:35 [1 мая] я уже не видел никаких отчетов — они не приходили. Единственное, что мне приходило от банка с 1 по 10 мая, — что мне одобрена карта и какой-то кредит на четыре миллиона с чем-то. Это уведомление мне пришло семнадцать раз за десять дней, — рассказал Сергей Русских.
Утечки клиентской базы
В разговоре с корреспондентом НГС собеседник предположил, что его случай мог быть связан с возможной утечкой базы данных клиентов ВТБ. Русских уверяет, что данные карты или коды с паролями он никому не сообщал и нигде в интернете не оставлял: карта «Мир» среди прочих его банковских карт является резервной и почти не использовалась.
Информация о различных утечках банковских баз регулярно появляется в СМИ. В частности, 31 августа 2020 года «Известия» рассказали про обнаруженное в DarkNet объявление анонимного продавца, который предлагал купить данные о счетах россиян в банке ВТБ. Речь шла о нескольких миллионах записей, которые продавались по 25 рублей за единицу.
Пострадавший уже написал заявление в полицию, где его признали потерпевшим, которому нанесен материальный ущерб в размере 104 620 рублей. Копия постановления полиции имеется в распоряжении редакции НГС.
Что говорят в банке ВТБ
В ВТБ заметили, что каких-либо утечек персональной информации клиентов за последний период банком не зафиксировано. В банке журналистам сказали, что обычно мошенники получают необходимые данные для хищения средств у самого клиента с помощью использования социальной инженерии, то есть манипуляции действиями человека. Еще один вариант получения мошенниками данных — фишинг, когда клиент получает сообщение или письмо якобы от банка с предложением пройти по ссылке, после чего происходит кража необходимой информации.
— В данном случае клиент действительно обращался в контакт-центр ВТБ, однако не по вопросам, касающимся безопасности его средств. В момент совершения операций, о которых идет речь, в банке не было информации о компрометации клиентских данных, а указанные операции были проведены корректно и подтверждены должным образом. Для получения дополнительных разъяснений клиент может лично обратиться в банк по удобному ему каналу связи. Отдельно отметим, что доступ в «ВТБ Онлайн» осуществляется при условии идентификации и аутентификации клиента с использованием пароля, который является строго конфиденциальным. В целях безопасности мы рекомендуем не сообщать третьим лицам кодов и паролей от своих мобильных устройств, внимательно проверять сайт, а также написать заявление сотовому оператору о запрете принимать обращения на блокировку, разблокировку или замену сим-карты от третьих лиц по доверенности, — сообщили корреспонденту НГС в ВТБ.
Что думает эксперт по кибербезопасности
Специалист по кибербезопасности и разработчик технологии Avalanche Андрей Масалович заметил, что объяснений подобной истории может быть несколько. Во-первых, считает эксперт, нельзя исключать вариант мошенничества самого владельца карты, который мог действовать в связке с пособником.
— Второе: он выступил невольным сообщником, то есть на какие-то эсэмэски всё-таки отвечал. Это тоже очень частая ситуация, когда человек сначала нажимает, а потом спохватывается. А банк видит, что это нажато его пальцами. Третье: он плохо хранил учетки. То есть грамотный злоумышленник, который знал, как выглядит управление банк-клиентом, сумел с его честным логином и паролем перевести деньги. У большинства пароль долгое время не меняется, один на несколько сервисов. То есть, сломав один сервис, можно получить пароль от остальных. Также может оказаться, что у него заражено устройство: может быть, он заходил где-нибудь на фишинговую страницу. Конкретной модели плана атаки у меня перед глазами нет — тут может быть штук пять равных вариантов. Чтобы слитой базой воспользоваться, нужно иметь больше информации, чем в базе. Чтобы переподключиться с одного телефона на другой, нужно иметь доступ к старому телефону, даже если у меня есть логин-пароль. Я, скорее, предположу, что тут [у злоумышленника] мог быть сообщник внутри банка, — заметил Андрей Масалович.