Foto.Touch / Shutterstock.com
истории

Если у вас украли телефон, преступник сможет получить доступ к мобильному банку. Как от этого защититься?

Источник: Meduza

В 2018 году мошенники украли почти 1,4 миллиарда рублей с банковских карт россиян. Это на 44% больше, чем годом ранее. Чаще всего люди сами отдают свои данные мошенникам — например, когда те звонят, представляясь сотрудниками банка. Однако есть и другие неожиданные методы похищения денег. Например, лишиться сбережений можно, просто потеряв мобильный телефон.


Ночью 2 марта 2019 года московский блогер Андрей Лебедев был в баре с подругой. К ним подошел незнакомый мужчина и предложил выпить. Лебедев отказался, но мужчина не уходил и пытался обнять его. Андрею все-таки удалось убедить незнакомца уйти, но спустя 15 минут он обнаружил, что из кармана пропал смартфон. «До нас этот мужчина долго терся около пьяного парня, который спал за барной стойкой. Но, видимо, телефон у него так и не нашел», — пояснил Лебедев «Медузе».

Лебедев на всякий случай поискал телефон на полу, спросил у барменов и заглянул в туалет, но так и не нашел его. Блогер не слишком расстроился из-за пропажи, так как давно хотел сменить смартфон, и решил отложить блокировку сим-карты на следующий день, хотя к ней была привязана карта Сбербанка. О ее безопасности Лебедев не беспокоился, так как телефон был защищен проверкой отпечатка пальца.

Москвич рассказывает, что на следующий день зашел в Сбербанк и узнал, что в течение часа после пропажи телефона с его карты исчезло чуть больше 95 тысяч рублей (документы, подтверждающие переводы, есть в распоряжении «Медузы»). Деньги вывели на карту другого клиента банка, некоего Андрея С. Средства переводились через мобильное приложение Сбербанка — с помощью реквизитов карты. Как именно мошенники получили доступ к реквизитам и приложению, Лебедев до сих пор не знает.

Блогер решил обратиться в полицию, а, когда пришел в отдел, оказался пятым в очереди из людей с аналогичной проблемой. Среди них был молодой человек, который оказался в еще более неприятной ситуации — к нему ночью у клуба подошел мужчина и сказал «давай поборемся». После недолгой борьбы молодой человек обнаружил ,что у него из кармана пропал iPhoneX. Он убеждал полицейских, что мошенники каким-то образом взломали телефон, нашли на нем фото паспорта и взяли на его имя микрокредиты на 200 тысяч рублей.

Кроме Андрея Лебедева «Медузе» удалось пообщаться с еще четырьмя пострадавшими — клиентами Сбербанка, Альфа-Банка и Тинькофф Банка (большая часть пострадавших попросили об анонимности, но банковские документы, подтверждающие их слова, есть в распоряжении «Медузы»). У всех в течение последнего года была аналогичная история: сначала они потеряли или у них крали телефон, затем с их карт выводились деньги. При этом сами карты оставались у владельцев, а у большинства из них телефон был защищен паролем или проверкой отпечатка пальца.

Украв телефон, мошенник может получить доступ к банковской информации жертвы

В некоторых банках ограниченный доступ к банковской карте можно получить просто по самой сим-карте — например, клиенты Сбербанка, у которых подключена услуга мобильного банкинга, могут переводить до 8000 рублей в день через смс.

Чтобы получить полный доступ, одной сим-карты недостаточно, заверили в пресс-службах Тинькофф Банка, Альфа-Банка, Рокетбанка и Райффайзенбанка. «Методы мошенников постоянно совершенствуются, поэтому, при утрате телефона, мы рекомендуем нашим клиентам сообщить об этом в банк любым удобным способом и максимально оперативно», — заявили в Сбербанке.

Однако два источника «Медузы» из числа действующих и бывших сотрудников крупнейших российских банков, рассказали, что после кражи телефона преступник может найти данные и о банковской карте жертвы. Если телефон не был заблокирован или на нем стоял простой пароль, нужные данные могут храниться в переписке или фотографиях пользователя. Если же устройство было надежно защищено, преступник может вставить сим-карту в другой телефон и попытаться получить данные из сторонних источников. От таких действий можно защититься, поставив на сим-карту PIN-код — его можно подобрать, но для этого потребуются дополнительные усилия.

Необходимые данные мошенники могут попытаться получить, например, через нелегальные базы данных или знакомых, работающих в банках. Такие случаи известны, но банки пытаются от них защититься — например, не хранят полный номер карты в открытом виде, доступном сотрудникам.

Кроме того, мошенники могут воспользоваться специализированными сервисами «банковского пробива». С помощью последних можно получить данные о клиенте фактически любого российского банка (определить каким именно банком пользовался человек можно с помощью системы быстрых платежей (СБП) по номеру телефона). Подробно о таких нелегальных сервисах писало «Би-Би-Си» — издание рассказывало сразу о нескольких случаях, когда рядовые сотрудники банков подрабатывали продажей данных клиентов в интернете.

На специализированных форумах и сайтах в сети Tor «Медузе» удалось обнаружить десятки сервисов «банковского пробива». С их помощью по номеру телефона можно узнать практически все о клиенте любого банка — от точного баланса до реквизитов и кодового слова. Цены сильно разнятся — за одну и ту же услугу разные продавцы могут просить и две, и 20 тысяч рублей. Корреспондент «Медузы», представившись потенциальным покупателем, узнал у одного из продавцов данных цены на получение данных только по номеру телефона клиента. Узнать баланс стоит 400 рублей, получить выписку по карте — 3-4 тысячи, паспортные данные клиента (включая прописку) — 5-6 тысяч. Узнать кодовое слово — 8-10 тысяч, а полный номер карты — 2,5 тысячи. Ранее корреспондент «Би-Би-Си» Андрей Захаров успешно покупал у этого продавца свои личные данные в рамках эксперимента для написания статьи.

Источники «Медузы» в крупных российских банках говорят, что имея на руках сим-карту и полный номер банковской карточки во многих банках можно получить новые логин и пароль для доступа к мобильному приложению (это сделано для удобства клиентов, которые не хотят идти в отделение). А уже затем выводить деньги.

Собеседники «Медузы» отмечают, что схема с кражей телефона и дальнейшим выяснением информации о человеке достаточно сложна в реализации и неэффективна — большинство мошенников давно пользуются более безопасными и прибыльными для них методами. Например, так называемой «социальной инженерией» — методами общения с людьми с целью получения необходимой информации. Так, мошенники могут позвонить человеку и выведать данные под видом сотрудников банка. В пресс-службе Альфа-Банка «Медузе» подтвердили, что подавляющее большинство атак на клиентов происходит именно с помощью таких методов. Об этом же ранее заявлял и Центробанк.

Полиция очень редко может найти мошенников

Москвич Александр Васев потерял телефон 1 мая в районе Петровки. На следующий день он обнаружил, что ночью с его карты Сбербанка неизвестные вывели 115 тысяч рублей на карту некоего Самвела Вагановича Григоряна. Телефон Васева был защищен паролем. Как именно были выведены средства с его счета, он до сих пор не знает.

В полиции Васеву, по его словам, пояснили, что это уже не первый случай, когда получателем денег оказывался Самвел Григорян, но доказать его вину не удается. Источник «Медузы» в одном из крупнейших российских банков пояснил, что мошенники всегда выводят и обналичивают средства через карты, оформленные на подставных лиц (зачастую оформить на себя карту за небольшую плату соглашаются бездомные или алкоголики). Когда полиция добирается до них, они обычно заявляют, что давно потеряли карту, а пропажу не заметили, так как давно ей не пользовались. Найти настоящих мошенников тоже не удается.

Старший юрист компании Versus.Legal Сергей Ковальков пояснил «Медузе», что подставному лицу, на которого оформлена карта, может грозить до шести лет колонии за соучастие в хищении денег, но доказать его вину довольно сложно. Например, доказательством может быть переписка с соучастниками или показания свидетелей, но не слова человека о том, что он просто забыл заявить о пропаже карты.

Александр Васев говорит, Самвела Григоряна опрашивали и по его делу, но в очередной раз отпустили. Расследование уголовного дела о краже денег продолжается. Примерно та же ситуация и у других пострадавших. Большинство из них рассказали «Медузе», что полиция уже давно не сообщает им о ходе разбирательства.

Доказать банку, что деньги были украдены, очень трудно

Российские банки в целом достаточно часто компенсируют клиентам украденные средства — по закону, банк должен вернуть деньги, если клиент сообщил банку об их исчезновении не позже, чем на следующий день, и смог доказать, что сам не передавал мошенникам информацию, которая сделала кражу возможной. Например, только в III квартале 2018 года банки возместили 230 млн рублей, украденных с карт россиян. Однако каждое заявление рассматривается индивидуально, и пострадавшие от мошенничества с кражей телефона получили отказы в своих банках.

Андрей Лебедев получил из Сбербанка ответ, в котором говорилось, что у банка нет оснований для возврата средств (документ есть в распоряжении «Медузы»). Решение банк обосновал тем, что переводы выполнялись с помощью «персональных средств доступа» — номера телефона и реквизитов карты. Кроме того, в условиях банковского обслуживания Сбербанка отдельно закреплено, что банк не несет ответственности в случае «утраты или передачи клиентом собственного мобильного телефона неуполномоченным лицам».

Другие пострадавшие получили от своих банков схожие ответы. Клиент Тинькофф Банка, рассказавший «Медузе» о краже средств, предоставил редакции официальный ответ банка — в нем говорится, что операции по переводу средств с карты «не могут быть оспорены», так как проводились через мобильное приложение с помощью ввода подтверждающих кодов, полученных на телефон. В пресс-службе банка сказали, что не могут прокомментировать этот конкретный случай, так как не имеют полных данных о клиенте — собеседник просил «Медузу» сохранить его анонимность.

В ответах других банков пострадавшим также указывалось, что оснований для блокировки транзакций в операциях не было. Хотя, например, в случае Александра Васева полный доступ к его мобильному приложению и нескольким банковским картам Сбербанка был получен по номеру старой карты, срок действия которой истек около двух лет назад. Более того, перед выводом средств с номера телефона Васева было отправлено около 70 текстовых запросов на номер Сбербанка 900 — по нему можно узнать баланс, получить последние четыре цифры номера карты и так далее. Содержание запросов неизвестно. В пресс-службе Сбербанка «Медузе» сказали, что не могут раскрывать подробности внутренней проверки ситуации с Васевым, так как это конфиденциальная информация.

«Я уже попрощался с деньгами. Мне только в первый день казалось, что вся эта ситуация — абсолютный бред, и нельзя просто украсть телефон, а потом вывести все мои деньги. Я думал, что сейчас объясню всем, какой бред происходит, и мне вернут деньги. Но этого не произошло», — говорит Александр Васев.

Глава антифрод-отдела Рокетбанка Любовь Патык объяснила, что платежи, которые совершаются внутри приложения — моментальные, то есть банки технически не могут их отозвать по требованию клиента. Однако если клиент оперативно пожаловался в банк, то его сотрудники могут обратиться к коллегам из банка, куда мошенники перевели деньги — если их еще не успели вывести с карты, то их, возможно, получится «заморозить». Это в разы увеличивает вероятность вернуть деньги, подчеркивает специалист.

Однако в большинстве случаев вернуть сбережения можно только после окончания расследования правоохранительными органами. Юрист Сергей Ковальков поясняет: для возврата денег нужно доказать, что операция была совершена без согласия клиента. Но в большинстве случаев суд отказывает людям, так как мошенники корректно выполнили перевод — например, знали реквизиты и имели доступ к телефону. В таком случае банк обязан совершить перевод, поскольку такие действия не могут вызывать сомнения, что операция выполняется без согласия клиента.

Также компенсацию от банка можно потребовать, если доказать, что либо система безопасности банка не обеспечила полноценную защиту данных клиентов, либо один из работников банка участвовал в незаконном переводе денег или нарушил банковскую тайну. Пострадавший Александр Васев говорит, что не видит смысла пытаться доказать это, поскольку на юридическую помощь в таком случае уйдет сумма, превышающая похищенные с его карты 115 тысяч рублей.

Источник «Медузы» в одном из крупнейших российских банках пояснил, что банки просто не могут выплачивать компенсации всем клиентам, заявившим о подобной атаке. По его оценке, это может привести к резкому росту количества ложных жалоб на действия мошенников.

Банки постоянно совершенствуют методы защиты, но объем краж с платежных карт все равно растет

Банки постоянно пытаются улучшать системы защиты от мошенничества с помощью украденных телефонов. Например, в пресс-службе Сбербанка «Медузе» сказали, что алгоритмы защиты и системы безопасности обновляются фактически ежедневно.

Обновляются и требования к защите данных. Андрей Заикин, глава направления информационной безопасности компании КРОК, которая среди прочего работает с банками, пояснил, что с марта 2015 года в России действуют новые требования Центробанка по борьбе с мошенничеством при дистанционном обслуживании. Большинство банков выполняет эти требования и, например, при каждой операции проверяет, соответствует ли сим-карта клиента той, с которой обычно идут запросы на операции.

Кроме того, в части банков действует система мониторинга смены мобильного устройства. В пресс-службе Альфа-Банка «Медузе» рассказали, что смена устройства расценивается как дополнительный риск и вероятность блокирования операции повышается. В этом случае клиенту позвонит оператор и задаст ряд вопросов, позволяющих идентифицировать клиента. В пресс-службе утверждают, что в 2019 году банк еще не зафиксировал ни одного доказанного успешного случая мошенничества со сменой устройства благодаря этой системе.

Современные системы безопасности также анализируют множество других параметров, среди которых — типовые действия мошенников, направления платежей, геолокация клиента и само поведение пользователей внутри мобильного приложения, рассказали «Медузе» в пресс-службах Тинькофф Банка и Рокетбанка. Есть у банков и собственные дополнительные методы защиты — например, клиенты Тинькофф могут установить контрольный вопрос, который будет задан при подозрительной активности или особенно рисковых операциях.

Все это помогает бороться и с методами «социальной инженерии». «Наиболее уязвимое место — не дыры в технических системах безопасности банков и шифровании, — объясняет Любовь Патык — Чаще всего персональные данные для входа — пароли, SMS, ключевые фразы, кодовые слова и так далее — сами клиенты сообщают мошенникам или третьим лицам, которые уже под их видом попадают в личный кабинет и никаких откровенных подозрений не вызывают».

Однако полностью защититься не удается и объем хищений средств с банковских карт россиян растет. По итогам 2018 года объем денег, похищенных с платежных карт, вырос на 44% — до 1,38 миллиарда рублей. Количество таких операций увеличилось почти на треть — до 417 тысяч. Сколько из них пришлось на снятие средств с карт после похищения телефона, неизвестно.

«Такие случаи встречаются не так часто, но отдельно взятому клиенту они могут нанести колоссальный финансовый урон. Методы защиты банков совершенствуются, создаются новые способы повышения безопасности. И это постоянный процесс: ведь под каждый новый замок рано или поздно появляется своя отмычка, и это нормально», — подчеркивает Любовь Патык.

Как защититься от кражи денег через мобильный банк

  • Установите пароль (Touch ID, Face ID) на телефон
  • Настройте автоблокировку экрана телефона (iPhone, Android)
  • Установите ПИН-код (iPhone, Android) на сим-карту (может понадобиться PUK-код)
  • Не храните в телефоне номера и фотографии банковских карт
  • Потеряли телефон? Сразу блокируйте сим-карту через оператора (МТС, «Билайн», «Мегафон», Tele2)!

Павел Мерзликин

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.