Pull to refresh

Comments 331

После этого средства с кредитной карты были выведены злоумышленниками на неизвестный счёт.

Интересно, а как в банке можно вывести деньги на "неизвестный счет"? Почему у нас всегда счет злоумышленника неизвестный? Разве у нас есть анонимные счета?

UFO just landed and posted this here

Тут ходили слухи, что у ихних банков (которые типа ненаши и должны быть идеалом законности) 25% дохода формируются за счет отмывания грязных денег. Наподобие таких, как эти 200 тыс. из поста.

Так что да, концов не найдут. Ибо сами банки в этом крайне не заинтересованы.

Полагаю, используется цепочка переводов из одного банка в другой или другие, и отслеживание переводов увязает в бюрократии. А деньги в это время выводятся из страны и их уже не вернёшь.

тогда было бы "выведены на известный счет, который в настоящее время пуст. следствие выясняет дальнейшую судьбу средств и всю цепочку переводов".

Кроме желания нужна возможность. Представьте, что деньги ушли в банк другой страны. Далеко не факт, что банк из Сенегала или Никарагуа будет сотрудничать с российскими правоохранителями.

Представьте, что деньги ушли в банк другой страны.

Я сомневаюсь, что в Сенегале можно открыть рублёвый счет. А на российской стороне у каждого промежуточного счёта есть фамилия, имя, отчество.

Думаю что разбросали по карточным счетам, на бомжей оформленным, через дропов и банкоматы обналичили.

Для этого у банков должна быть система общей связи, чтобы блокировать такие цепочки на втором переводе(или попытке снятия). Деньги как я понимаю не задерживаются, а сразу снимаются, а легальная необходимость перевести деньги через два три счёта и тут же снимать их, весьма маловероятна.
А лучше просить подтверждения операции уже на первом, если деньги этому лицу ранее не переводились. В виде сообщения: Вы перевели деньги Иванову И., он стоит возле банкомата и ждёт разрешение для снятия денег, для подтверждения наберите код безопасности(или как нибудь по проще).
Это конечно вызовет некоторые неудобства, но крупные суммы незнакомым людям не часто переводятся.

легальная необходимость перевести деньги через два три счёта и тут же снимать их, весьма маловероятна

Я хочу купить б/у машину у частника, но у меня не хватает денег. Я беру кредит, перевожу деньги на свою карту и снимаю их в банкомате, чтобы заплатить за машину наличкой.

Но банк то видит в этом случае что карта ваша или вашего родственника, с которым вы периодически обмениваетесь деньгами, а не левого чувака живущего в другом городе.
Да, есть случаи, когда люди снимали кредитные деньги и сами их переводили неизвестно кому ради их «сохранности», но в таком случае человеку не поможет уже ничего, разве что контроль над его средствами, другим адекватным человеком. В сбере это к примеру можно подключить.

а часто вы покупаете машину спонтанно?

договариваетесь, что покупка будет завтра-послезавтра, идете в банк берете кредит "лицом" и покупаете машину...

п.с. я вообще не могу представить ситуацию, что мне вот прям здесь и сейчас понадобилась большая сумма денег, которой у меня нет.. и я не могу отложить это на пару дней (чтоб сходить в банк лично) :)

Не часто. Лично я считаю, что кредит удаленно следует запретить по умолчанию и давать только после разрешения, данного в банке лично.

Но, поскольку сейчас взять кредит удаленно может быть удобнее чем лично - наверняка есть люди, которые поступают именно так.

Я бы не сказал что "взять кредит удаленно" это что-то плохое по умолчанию. У нас например естъ банки вообще не имеющие "физических" филиалов. То есть у них всё делается удалённо.


Другое дело что это можно как-то нормально организовать, а можно через одно место...

UFO just landed and posted this here

Боюсь, что таким вменяемым людям, как вы, это не сильно поможет. Ибо вы и так не будете диктовать секретные коды кому ни попадя.

UFO just landed and posted this here

Ну, скажем, у многих банков лимиты и операции по картам можно устанавливать самостоятельно, через банковское приложение...

я мог выбрать опцию — никогда, ни при каких обствоятельствах не брать наличные с кредитной карты. Плюс никогда не брать обычный кредит.

Никогда не сделают. Банк очень хочет выдать вам кредит, Тиньков вон даже пробовал еще упростить процесс - по одному клику в приложении сделать рассрочку, но "не прокатило".

п.с. я вообще не могу представить ситуацию, что мне вот прям здесь и сейчас понадобилась большая сумма денег, которой у меня нет… и я не могу отложить это на пару дней (чтоб сходить в банк лично) :)

Например, вам пришла повестка, вы сходили и узнали, что уже завтра вам надлежит явиться с вещами. Такие случаи бывали? Бывали. Кредиты, чтобы одеть мобилизованного люди брали? Брали.

Вообще-то мобилизованного должно как бы одевать государство.

Причем в основном в цинковый гроб

А если тут не перевод напрямую а чуть похитрее? Например:


  • Пополнение баланса телефона но при этом к этому балансу привязана карта или можно быстро с баланса заплатить(такое у Мегафона, МТС, Тинькова есть точно)?
  • Или там оплата по QR-коду на дропа-ИП?
Баланс на 50тыр не пополняют. Разве что по ошибке.
ИП может вывести деньги не ранее чем на следующий день. Прямой платёж(со счёта физлица, на счёт ИП) тоже несколько часов проходит(чтобы его можно было стопнуть).
Много геморроя с оформлением и отмазаться куда сложнее.

Или если с баланса телефона что-то оплачивают в магазине приложений. Огромный пакет кристаллов или великий меч, например.

И в чём проблема? Банк прекрасно видит откуда и куда идут деньги.
Оплата игры, путь даже с телефона, это обычный сценарий.
А вот приход крупной суммы денег на баланс телефона, лицу без оф. доходов и дальнейший их перевод/снятие(оставив себе, к примеру 10% или не оставив ничего) это подозрительная операция.

По хорошему одноразовый приход крупной суммы это всегда "подозрительная операция". Вы хотите чтобы банк вас каждый раз дёргал когда вам премию в середине года выплатили? Или там вы машину какому-то частнику продали? Или где-то "пошабашили"? Или ещё что-то в этом роде?

Вы же сами первый задолбаетесь если банки начнут в таких ситуациях переводы или даже счета блокировать.

То есть я ещё понимаю если например банк присылает вам сообщение а случае если идёт какой-то "подозрительный" перевод с вашего счёта. И даёт вам время отреагировать/отменить перевод. Например если перевод за границу и/или крупная сумма. Но это максимум.

Перевод от организации, очевидно это другой сценарий. Тем более обычно оформляется зарплатный проект и/или перевод от неё уже не первый.
Машину не так часто продают(если это не серый перекуп), банк средства приморозил, вы показали ему договор продажи, значит средства легальны. А пошабашили это уже другая статья и вопросы у налоговой.

Да, но я лично не хочу каждый раз ходить в банк и что-то там им показывать когда мне на счёт приходят деньги. Это не их дело кто мне их перевёл или кому и зачем я их перевожу.

Предупредить меня в подозрительной ситуации это да, это хорошая услуга. Решать за меня или даже блокировать там что-то банк не должен.

В смысле не их? Их вообще то закон обязывает определять 115ФЗ и незаконную предпринимательскую деятельность.
Не хочешь геморроя, оформи ИП/самозанятого и работай легально.

Я не вижу в каком месте любой разовый перевод крупной суммы на мой счёт должен автоматом определяться как "незаконная предпринимательская деятельность".

Если такое происходит, то я бы сказал что с законами что-то не так.

Т.е. с законами во всём цивилизованном мире?
В РФ регистрация плательщиков налога на профессиональный доход производится в упрощенном порядке, через мобильное приложение «Мой налог». Это позволит легально вести бизнес и получать доход от подработок без рисков получить штраф за незаконную предпринимательскую деятельность.
Это может быть и возврат долга, пусть даже и без расписки(что на крупную сумму не желательно, даже с хорошими знакомыми), но если крупные долги(от тех же 50тыр) вам каждую неделю возвращают, то интерес у государства в происхождении денег вы и сегодня вызовите.

Я не знаю как там "во всех цивилизованных странах". У меня в стране в случае если у банка есть подозрение что кто-то занимается чем-то незаконным, то он максимум сообщает об этом в соответствующие органы. И они уже дальше решают будут они с тобой разбираться или нет.

Но счета и переводы банк в случае каких-то "крупных одноразовых пополнений счёта" не блокирует.

Но и такого напора мошенников нет?
Я не знаю где вы живёте, но у нас в РФ, мошенники звонят каждому и не по одному разу. А рекламщики(не смотря на законы) вообще края потеряли и звонят по десять раз на дню, без программы антиспама жизни спокойной нет.

Ну так в том то и дело что раньше, когда точно так же были смс/таны, то мошенники звонили относительно часто. То есть по нескольку раз в день пожалуй нет. Но в самый "разгар" этого дела мне лично 3-4 раза в месяц точно звонили.

А с тех пор как ответственность повесили на банки и те поменяли способы авторизации, то как рукой сняло.

И рекламщиков кстати тоже в какой-то момент хорошо прижали. Реклама по телефону запрещена, штрафы относительно высокие и похоже часто штрафуют.

Сейчас на очереди "социологические опросы". То есть до короны за них начали браться, но из-за всего этого дела до конца ещё не "добили" :)

А они и блокируют. Вот абсолютно намеренный перевод куда угодно (как минимум, в первый раз этому контрагенту) на "приличную" сумму в каких-то 50 тысяч рублей -- блокировка, звонок из Сбера (и только так, вариант "я сам вам позвоню" по понятным причинам не принимается, потому что банки прекрасно знают про спуф телефонного номера вызывающего абонента, но когда это надо им, а не когда это надо клиенту, конечно же).

А вот "взять кредит на очень-очень много" (на весь доступный клиенту кредитный лимит), моментально его вытащить на счёт:

  • в другом банке

  • ранее не замеченный в обмене с этим клиентом ни по одному из счетов

  • единоразово и, подозреваю, со скоростью обработки вызовов АПИ, свойственной только роботизированным решениям

да, конечно, сейчас исполним. Seems totally legit. Наш фрод-мониторинг ничего не видит, каждый день такое, пффф.

а «приличную» сумму в каких-то 50 тысяч рублей — блокировка, звонок из Сбера

а что разве банк звонит для подтверждения? помоему это только мошенники так говорят

банки делают проще если чтото подозрительное — лочат карту, а клиент сам прибежит… нужно больно на него время коллцентра тратить

Это давно было. Вроде как, просто блокируют транзакцию и ждут ответного гудка. Когда разъяренный клиент добирается до поддержки со своим "почему бабки еще не отправлены, у меня отгрузка срывается!?", оператор предлагает прямо сейчас перезвонить этому клиенту на привязанный к аккаунту телефон. Да, кто слишком стеснительный, чтобы ругаться из-за блокировки перевода, те остаются со своими деньгами (и без отгрузки), видимо.

Я тогда был вынужден согласиться на этот трюк, хоть и был в международном роуминге (а паскудный МТС Коннект почему-то напрочь отказывался принимать входящие звонки в приложении, а вот исходящие делал, так я и добрался до оператора). Благо, там звонка на минуту: такой-то такойтович такойтов, паспорт (последние цифры) можете назвать? Ага, сходится, операцию подтверждаете? Ага, разблокировано, сейчас поедет получателю, до свидания.

впервые такое слышу

у меня отгрузка срывается

вы про юрлиц?

Это была, как мне казалось, очевидная метафора. Юр. лица обычно меньше кричат на операторов, там свои механизмы, первым пунктом которых обычно является "смотри договор", а одним из промежуточных является "направь претензию предусмотренным законом и договором порядком".

Впрочем, как это ни иронично, вот именно тогда и именно у меня дело касалось именно "отгрузки". Покупка машины чуть было не сорвалась, потому что перевод был приостановлен. Но я, конечно же, не кричал на оператора, просто позвонил узнать, что теперь делать, особенно, если я и правда осознаю суть операции и хочу ее исполнения, даже настаиваю на этом.

А насчет платежей — скажем так, отлично все проходит в обоих направлениях, мгновенно. Никто ж не говорит про обычную платежку со всякими БИКами.

Ну найдут бомжа на которого оформлена карта, дальше что?

Дальше следственные действие. Закон должен быть един для всех, не важно, бомж или президент. По крайней мере нужно заблокировать счет, чтобы больше через него ничего не шло. А, во-вторых, еще не факт, что это будет бомж.

На всех мошенников бомжей не хватит

Все куда прозаичнее. Средства переводятся на карту другого клиента банка, живущего на другом конце страны, и неизвестное лицо где нибудь в питере или в москве обналичивает их в течении нескольких минут после оформления договора. Обычно клиент попросту не успевает понять что происходит и поднять тревогу. Если успевает - есть даже шанс предотвратить снятие.

И да, такие клиенты-обнальщики блочатся банком и инфа по ним передается правоохранительным органам по запросу, но как правило это мало чем помогает.

Блин, ну можно же все такие распутать данный колубок и накрыть как вариант группировку... И это реально при нормальной работе, но это же не оппозиционер и полиция: наши полномочия Все!

Видимо ошибка, скорее всего имелось ввиду: «счёт неустановленного лица».

Однажды со взломанного аккаунта знакомой попросили денег. Когда «для вида» согласился, прислали фото карточки Сбербанка, на которую просили перевести деньги. Собрался уже было сообщить в банк о мошенничестве, но решил сначала номер карты проверить (возникло сомнение, что все так просто). Оказался какой-то австралийский банк. Из интереса нашел сайт банка — но там даже возможности связаться не было — «только для клиентов банка», да и вряд-ли кто-то принял бы мое сообщение всерьез. Причем банк может быть только первым шагом в цепочке, так что если мошенники беспокоятся о своей безопасности, раскрутить всю цепочку может быть весьма проблематично…
Это было до введения санкций, но вряд-ли принципиально что-то изменилось, разве что цепочка банков удлинилась…

фото карточки Сбербанка

Оказался какой-то австралийский банк

Дизайн, как у сбера или фотошоп?

Так а разве можно было из Сбера переводить на иностранные карты?

А почему вы решили, что австралийский-то? Судя по IIN, это действительно Сбербанк.

В онлайн-базах написано Westpac Banking Corporation Australia. Может быть, устаревшие данные. Но все равно фотошоп, потому что номер Visa, а логотип MC

Вот тут говорят, что австралийский:

Details for BIN 470550
BIN 470550
Issuing Bank ANZ - AUSTRALIA AND NEW ZEALAND BANKING GROUP
Card Brand VISA
Card Type DEBIT
Card Level PREPAID
ISO Country Name
AUSTRALIA
ISO Country A2 AU
ISO Country A3 AUS
ISO Country Number 36

Хм. Интересно. А тут другое почему-то:

{
  "number": {
    "length": 16,
    "luhn": true
  },
  "scheme": "visa",
  "type": "debit",
  "brand": "Traditional",
  "prepaid": true,
  "country": {
    "numeric": "643",
    "alpha2": "RU",
    "name": "Russian Federation",
    "emoji": "??",
    "currency": "RUB",
    "latitude": 60,
    "longitude": 100
  },
  "bank": {}
}

Странно это. На сайтах, что встречал, говорят, что BIN - это первые 6 цифр номера карты.

Вот интересно, как часто среднестатистический российский обыватель переводит крупные суммы в иностранные банки? Если он до этого ни разу так не делал, неужели из банка сложно позвонить своеиу клиенту, и уточнить реально ли он хочет сделать такой перевод?

Мне кажется, это всё от безнаказанности. В большинстве случаев мошенничества банк остаётся в стороне, страдает только одураченный клиент. Если бы это было не так, у них было бы совсем другое отношение к деньгам клиентов.

неужели из банка сложно позвонить своеиу клиенту, и уточнить реально ли он хочет сделать такой перевод?

Не сложно, но бесполезно. Деньги с карты жертвы сначала переводятся на дропа, а он подтвердит всё что нужно.

И это легко можно было бы предотвратить, вешая на дропа кредит в размере украденных денег.
Обналичил он деньги и отдал неизвестно кому или перевёл третьему лицу, вина легко доказываемая. Карту он «потерял» или попросили знакомые, имена которых он не может «вспомнить», его проблемы.
Вы предлагаете банкам удлинять цепочку, без всякой на то нужды. Сейчас банки вешают кредит в размере украденных денег на жертву. Потерял он код из СМС или дал «знакомым», его проблемы.
Ну так за жертву будет платить посредник(дроппер). А так он заявил что «потерял» карту вчера(вместе с кодом) и как бы невиновен.

Он не будет платить. На него выпишут исполнительный лист, и на этом история для жертвы закончится, потому что брать с него нечего.

Ну жертва хотя бы не одна пострадает или проценты будут посреднику считать. А дроппер получится одноразовый.

Почему одноразовый? Вы хотите без суда ограничивать людей в праве пользования банковскими переводами?

Почему, нет, но для подтверждения операций(год к примеру), ему надо будет являться в офис лично, чтобы не мог отмазаться, что это не он. В случае повторного нарушения меры должны быть уже более жёсткими.
По 115ФЗ, банки и так без суда и следствия блокируют обслуживание граждан, которые потом даже в другом банке счёт завести не могут.

для подтверждения операций(год к примеру), ему надо будет являться в офис лично

Это и есть ограничение - человек может лежать в больнице, может жить в селе где нет банков, может работать вахтой и так далее.

А вы предлагаете понять и простить? Пусть судить его действительно перебор, но и последствия безалаберности должны быть. Если он действительно невиновен, пусть судится с банком.
Его нахождение не на месте преступления легко доказать.
И я уже предлагал ещё одну альтернативу. Отслеживание цепочек онлайн.

Ну так и у банков нет обязательств открытия счета любому клиенту по первому требованию. Вам вполне могут отказать в открытии счёта, или потребовать какие-нибудь дополнительные документы. Вообще, то что в РФ так легко открыть счет в банке любому рандому - это далеко не самая типичная ситуация.

Тут нужна кучка оговорок, ибо

ГК РФ Статья 846 пункт 2:

2. Банк обязан заключить договор банковского счета с клиентом, обратившимся с предложением открыть счет на объявленных банком для открытия счетов данного вида условиях, соответствующих требованиям, предусмотренным законом и установленными в соответствии с ним банковскими правилами.

В других странах может быть похожее, ибо публичная оферта, инфраструктурные сервисы и все такое похожее.

Проблема таких законов например в том что в результате обычно по нему можно открыть только какой-то один вид счёта в банке.

Ну и грубо говоря это обычно нуль функционала и за большие деньги. То есть некая разновидность итальянской забастовки со стороны банков...

Это опаснейшая хрень и прецедент, ни под каким предлогом банки не должны взыскивать с любого человека деньги в виде выдачи кредита, не важно под каким предлогом. Будем молиться чтобы до такого не дошло.

Чем опасно то? к примеру вы получили деньги неизвестно от кого, перевели или отдали их неизвестно кому и ничего не дрогнуло?

А вот представьте что карту вы и правда потеряли, вместе к кодом...

Код я нигде не записываю, в банкоматах проверяю панель на накладки и прикрываю рукой и телом от любопытных взглядов.
Так что представить не могу. Но если операция всё равно прошла, по закону банк(а я обратился в течении суток), обязан вернуть деньги.
Правда с подобным сам я не сталкивался.

Тем что подобный механизм применится весьма неожиданно и опасно. Например хотите от косяка приставов повесивших кредит не на того человека начать выплачивать его, а хотите после косяка налоговой параллельно с судами платить кредит за штрафы ей выставленной? Дальше сами пофантазируйте

Для этого вам надо получить перевод от того человека и деньги в тот же день потратить так, что объяснить не получится, ни причину перевода, ни дальнейшего получателя.
А с долгами не на того человека, приставы и так справляются.

Сегодня да, эта норма (вешание кредита) будет работать только для дропов.

А завтра (как у нас любят) немного подкрутят законодательство и вот уже банки вешают на людей кредиты за ошибки налоговой, приставов, штраф от государства, на покупку гос-облигаций.

Не стоит вскрывать ящик пандоры - достаточно просто дать право людям самостоятельно в банке ограничивать список операций, которые они могут делать без посещения банка: условно если Вася Пупкин попросил банк не выдавать ему кредит кроме как при личном посещении банка, а банк всё же выдал и деньги украли мошенники - кредит автоматически аннулируется, а банк попадает на дополнительный оборотный штраф

Уже давно есть закон, который запрещает подобные действия со стороны банков. Даже если дебетовую карту(с прописанным нулевым овердрафтом в договоре) государство загнало в минус(не важно по ошибке или нет), банк не имеет права вешать кредит и начислять проценты.
А цепочку исполнителей нужно разрушать, если не получается добраться до организаторов.
То что вы предлагаете банки и лень людей это легко обойдут. Либо всем по умолчанию будут выдавать максимальные возможности(а лишь на следующий день можно прийти и отменить некоторые), либо подсовывать договор с максимальными возможностями без комментариев(как они сейчас подсовывают страховки). Большинству людей будет лень разбираться со всем этим, а редкие кредиты оформленные на людей без их разрешения, размажут на всех остальных.

Так смысл дропа в том и заключается, что у него ничего нет. Ну повесите вы на бомжа или зэка ещё один кредит, а дальше что делать?

А такие люди должны быть на особом счету и операция приостанавливается до второго подтверждения легальности операции.
Да это не защитит на 100%, т.к. некоторые люди очень внушаемы, но что то делать надо.

Скорее всего так и сейчас происходит, но пока жертвы обратятся в полицию, пока она разберётся, пока банки примут меры - на дропе уже висит куча переводов.

А такие люди должны быть на особом счету и операция приостанавливается до второго подтверждения легальности операции.

Берёте следующего дропа и так далее. По вашему там что-ли штучные какие-то специалисты? Бомжи, зеки, гастарбайтеры, как и написано, они и так одноразовые.

Получение крупных сумм такими мутными личностями(без собственности и оф. доходов), как раз и должно быть под контролем того же 115ФЗ. Первый платёж(от одного и того же человека), должен кмк притормаживаться на сутки. Если нет претензий, то можешь переводить дальше, оплачивать или снимать.
Это уже должно отрезать минимум 90% воровства.

Этот дроп, скорее всего, или бомж без официальных источников дохода, или гражданин соседнего государства, получивший в России карту и затем уехавший. Повесить-то на него можно, но денег это не принесёт.

А то ещё бывает, что незнакомые люди пишут: “я случайно перевёл вам на карту столько-то денег, вышлите их, пожалуйста, туда-то”. И дропом становится ничего не подозревающий добрый гражданин.

А что если у человека вируснёй угнали доступ к онлайн-банку, и пользуются его счётом в качестве дропа? А если на вокзале подошёл чувак и говорит "банкомата нигде нет, наличка нужна, давай я тебе на счёт переведу, а ты мне наличкой отдашь"? Там достаточно есть схем, чтобы отмывать бабло через счета наивных непричастных людей.

В случае с вирусней — думать что-то про канал авторизации который ну не получится ТАК обойти?
Да, для этого очень желательно иметь у человека аппаратный некопируемый токен с его личными данными но который при этом можно проверить хоть как то достоверно и считыватель. Путь хоть без возможности ЭЦП.
Но… у многих людей такой токен внезапно есть! Новый загранпаспорт РФ с чипом :). Личные данные + фото + все это подписано. Читается смартфоном с NFC (программ для чтения хватает) + для расшифровки — надо читающему приложению указать номер документа. При этом стандарт — международный от ICAO и так должны все новые заграны работать.
Как вариант — при малейшем подозрении банка что счет не под контролем клиента, если банк в курсе что загран — есть, требовать дать мобильному приложению его прочитать и принудительно переустанавливать все пароли доступа, сбрасывая существующие сессии?

Т.е. те, у которых нет заграна, по умолчанию люди второго сорта... Здорово, чё.

Что мешает добавить чип в обычный паспорт? Или если у человека нет какого-то документа с чипом, то просто чтобы банк выдавал ему какую-то свою карточку?


Или даже действительно разделить людей на "два сорта" и тем у кого есть подходящее "железо" предлагать более безопасный метод авторизации. А тем у кого нет обьяснять ситуацию и тогда они может быть тоже ради этого сделают себе загранпаспорт.

Скорее возможность потестить систему. Народу с биометрическими паспортами много.
Вот что мешает такой же чип засунуть во внутренний паспорт? А точнее сделать дублирующий документ ограниченного(пока) использования в виде карточки какой?
Альтернатива — да любая УКЭП от нормального УЦ. Если это сделать как дополнение к существующим способам — проблема будет только с тем что придется либо делать УКЭП на токенах с поддержкой NFC (а такие есть?) либо как то цеплять Госключ (а у него УКЭП внезапно тоже завязана на загранпаспорт).
Хотя по хорошему — надо к внутреннему паспорту такое добавить да (вот зачем УЭК прибили?)

так хотели же сделать такой паспорт с этого года, но все отменили из-за санкций
причем уже второй раз (УЭК был проект… давно уже)

В большинстве случаев мошенничества банк остаётся в стороне, страдает только одураченный клиент. Если бы это было не так, у них было бы совсем другое отношение к деньгам клиентов.

В США достаточно позвонить и сказать "это был не я, а ну бегом вернули мне мои бабки". Тут же вернут. Потому что по законодательству это проблемы банка, а не клиента.

Зато если откроют расследование и реально смогут доказать, что был таки "я", то тут и присесть можно.

Из интереса нашел сайт банка — но там даже возможности связаться не было — «только для клиентов банка», да и вряд-ли кто-то принял бы мое сообщение всерьез.

если вы продиктуете им номер карты — они её заблокируют.
Это штатный функционал всех банков для карт МПС

Не считая того, что я в принципе не люблю говорить с незнакомыми людьми по телефону, я тем более не готов за свой счет звонить в Австралию и пытаться объясняться неизвестно с кем на ломанном английском...

Счёт известный. На бомжа без собственности и доходов. Банку не нужен такой ответчик в суде, поэтому выбирается более выгодный банку ответчик, которого потенциально можно ограбить в суде. Банк - это про деньги.

Что значит "банку не нужен"?

Клиент банка перевел деньги со своего счета на какой-то счет (вы это называете "бомжу"). С чего вдруг банк должен предъявлять претензии получателю?

А если бы деньги пришли, к примеру, вам (в т.ч. клиенту совершенно другого банка)? Банк должен с вас эти деньги требовать?

Даже если что-то не так, даже если вам перевели деньги по ошибке, это разборки между отправителем и получателем.

Или вы считаете, что банк должен проверять надежность получателей, куда его клиенты деньги переводят? И если на счету получателя (не своего клиента!) денег мало, то такие переводы запрещать? А если таки разрешил, но отправил=тель (клиент банка) потом заявил, что совершил перевод "машинально, а на самом деле не хотел", самостоятельно откатывать транзакции назад?

Если «бомжу» без собственности и доходов вдруг приходит крупная сумма денег(допустим 50тыр+) от ранее не контактировавшего с ним физлица, банк должен как минимум поинтересоваться происхождением этих денег.
По тому же 115фз. А если таких переводов несколько и в один день, ещё и от разных физлиц, то тем более. Уже второй(как минимум) и все последующие должны блокироваться до пояснения происхождения денег.
На сколько я понял, дропперы вместе с мошенниками действуют в течении максимум суток, а то и нескольких часов. Вот хотя бы этих суток и не хватает для возврата денег.
А у банков ещё и нет оперативного канала связи(для блокировки украденных средств) и они не стремятся его самостоятельно делать.

И какой же банк должен этим заинтересоваться? Отправителя или получателя?

Если даже согласиться на "банк получателя должен проводить проверки", то деньги, утекшие к мошеннику требуют с банка "отправителя". Верно?

Банк получателя блокирует сумму до выяснения и откатывает перевод в банк/счёт отправителя. Или вы думаете он может присвоить эти деньги себе?

Т.е. вы согласны, что эта транзакция не проблема банка отправителя, и требовать деньги, выведенные на другой счет, нужно не с него?

Ещё раз. Пострадавший общается со своим банком, а уже банки между собой договариваются.
Банк получатель может быть в другом городе/стране, пострадавший по вашему туда должен ехать?

Нет уж, эт вы опишите схему, кто за что должен отвечать, какие проверки обязан выполнять и как такие ситуации должны решаться.

В моем представлении потерпевший никак не должен ехать в банк. В случае мошеннических действий он должен обращаться в полицию.

А требовать с банка вернуть перевод - это дичь. Иначе у меня в голове возникают сценарии - вы перевели мне деньги, я отдал вам свой ноутбук, мы разошлись. А потом фигак - и банк полученные от вас деньги у меня отобрал. Просто потому что вы ему сказали, что "сделали перевод машинально".

Я же написал, до выяснения. В том числе и со стороны получателя, откуда и за что по его мнению пришли деньги.
Отправитель должен сначала обратится в банк, чтобы перевод заморозили и деньги не ушли, а уже потом подавать заявление в полицию.
Да и никто в здравом уме делать так не станет, т.к. оставшийся без денег и без ноутбука уже гарантированно пойдёт в полицию и напишет на покупателя заявление о мошенничестве. И сделавший «машинальный» перевод, сядет уже в реальную тюрьму за мошенничество.

оставшийся без денег и без ноутбука уже гарантированно пойдёт в полицию и напишет на покупателя заявление о мошенничестве

Мне кажется. вы все время усложняете схему перекладывая ответственность и необходимость разборок с какими-то третьими лицами.

Банк "получатель" решил, что получатель недостаточно надежен? Но туда ехать далеко, поэтому обратиться я должен в свой банк, который ни сном, ни духом о получателе и его финансовом состоянии.

Деньги у меня со счета списал банк? Почему-то я должен писать в полицию заявление не на него, а на того, кто мне често заплатил какое-то время назад, и с кем мы расстались к взаимному удовлетворению...

В любом случае, чтобы ваши схемы заработали, нужно менять законы. А не предъявлять претензии к банку, фигли он сейчас так не делает.

Закон нужно и так и так менять, потому что в данный момент он защищает скорее воров и мошенников, а не честных граждан.
Вопрос в том, как его поменять так, чтобы и удобство не сильно пострадало и сделать невыносимой жизнь паразитов.

Разве у нас есть анонимные счета?

Есть предоплаченные карты:

https://www.banki.ru/products/debitcards/catalogue/kartyi_bez_pasporta/#:~:text=Банки имеют право предлагать так,пользоваться как обычными дебетовыми картами.

Это такой же дебетовый пластик (с чипом), обычно выдаваемый на улице первому встречному в рамках программ лояльности (часто на ней еще и бонусы ведутся на бонусном счете, т.е. не только деньги), без паспорта и без иного документа: заполняешь анкетку, где вписать можно любое ФИО.

Есть реквизиты карты, может быть такой же личный кабинет в ДБО (не проверял) и т.п. Отличается лимитом 15 т.р., но можно собрать пул из десяти таких карт и проводить операции уже на 150 000р.

Однако мошенники полагаю что пользуются более простыми вариантами анонимизации.

Пострадавшая тоже даёт...

Я не считаю её абсолютно невиновной, надо же головой думать хоть чуть-чуть... Доля вины на неё висит на мой взгляд.

UFO just landed and posted this here
В общем то в большинстве стран(включая РФ) принят закон нулевой ответственности, по которому клиенту достаточно лишь сказать что операция выполнялась без его желания, а дальше проблемы банка, который обязан вернуть деньги пострадавшему и уже самому разбираться.
Просто в некоторых странах он не работает.

В РФ такого нет. Ну или дайте ссылку.

Чудес не бывает, в случае законодательного перекладывания ответственности на банк, банки перекладывают эти затраты на всех клиентов (через тарифы, ставки и т.п.). Теперь вместо отдельных раззяв и ленивых ментов страдают все, но по чуть-чуть.

Ссылку не нашёл, выдача забита левым мусором или без ссылок на конкретный нормативный документ.
Но ВС просто так не мог признать договор ничтожным, хотя было известно что клиентка сама передала нужные коды.
Банки то могут попробовать перекладывать, но тарифы они не могут необоснованно поднять(а это будет именно необоснованным). Да и с учётом того что с мошенниками сталкивались практически все жители страны, да ещё и не по одному разу(просто многие не ведутся). Придётся конкретно переработать процедуры безопасности, наладить оперативную связь. Тормозить подозрительные операции(а оформление кредита через интернет и тут же перевод этих денег неизвестно куда, это очень подозрительно), с живым подтверждением личности. Возможно несколько пострадает удобство использования банковскими услугами, но без этого никак.

Разве что в виде недополученной прибыли после сворачивания сомнительных сервисов типа выдачи кредитов по СМС.

Никто не будет страдать по чуть-чуть. Если ставки и тарифы такого банка перестанут быть конкурентоспособными, люди уйдут в банки, где с безой всё в порядке.

И тогда банку придётся либо закрыться, либо таки заняться безопасностью операций, совершаемых розничными клиентами.

Речь о том, что это на уровне законодательства регулируется. Если примут закон или приказ, что по умолчанию виноваты банки - то исполнять придётся всем банкам.

А дальше начнётся математика: банки начнут минимизировать сумму

∑ (расходы на доп. меры безопасности + потери из-за дополнительных мер безопасности + выплаты из-за действий мошенников) → min

И потом делить её на всех клиентов, разумеется.

И по вашему это является достаточным основанием для того чтобы не требовать от банков нормальных мер безопасности?

Нет, я просто говорю, что "вжух" волшебной палочкой сделать нельзя, мошенники сами собой не исчезнут, а ущерб от них кому-то всё равно придётся оплачивать.

Вариант с ответственностью банка лучше тем, что они действительно будут более заинтересованы противодействовать мошенникам. Сейчас же банкам "внештатные сотрудники" даже выгодны.

Нет, я просто говорю, что "вжух" волшебной палочкой сделать нельзя, мошенники сами собой не исчезнут, а ущерб от них кому-то всё равно придётся оплачивать.

Исчезнуть мошенники может быть и не исчезнут. Но вот ущерб от них уменьшится заметно. Ну то есть например в ряде стран отвественность действительно в первую очередь лежит на банках. И темы "кредитов по смс" там просто не существует как таковой. Как впрочем и многих других тем с похожим контекстом.


При этом не то чтобы цены на банковские счета были сильно высокими. Более того эти самые счета местами вообще бесплатные.

я просто говорю, что "вжух" волшебной палочкой сделать нельзя

Можно. Просто тут нужен не "вжух волшебной палочкой", а "бах волшебным пистолетиком" :)

Вообще, нужно, конечно, считать. Всякие (не только денежные) издержки на общество от жульничества и мер по его предотвращению когда непосредственно граждане страдают vs когда все это централизовано через банки.

Если судить по https://www.cbr.ru/analytics/ib/operations_survey_2021/ -- то проблема, кажется, даже не мошенничество само по себе - оно в денежном выражении не такое уж и большое, а то, что мошенники уже всех достали своими звонками и прочими контактами.
Из этих же сумм, кстати, следует и то, что никаких особых проблем компенсация 'не глядя' банкам не принесет. Потому что в том же году их прибыль была, кажется, что-то около 2.4 триллионов рублей. Вернуть 13 миллиардов - этого даже не заметят.

Но при этом вполне может оказаться что поменять "авторизацию по смс" на адекватные меры безопасности будут стоить гораздо меньше чем эти самые 13 миллиардов.

Может. Я подозреваю, что это именно так. Особенно если банки как-нибудь скооперируются, а не будут каждый пилить свое решение, несовместимое с другими банками.

Ну, а на что вы предлагаете заменить коды из СМС? Понятно же, что СМС здесь только транспорт, но позволяющий хотя бы валидировать сим-карту, и давать отлуп если она изменилась. Аппаратный ключ на компе - допустим, но только для тех, у кого есть и ключ, и комп. Ключ в телефоне уже используется как один из факторов.

Так какую массовую адекватную меру вы предлагаете? Присылать на каждый чих селфи с паспортом? Жертв мошенничества натурально зомбируют, они и ногами в банк приходят снимать крупные суммы со своих счетов. Селфак для них зафигачить вообще не проблема.

Аппаратный ключ на компе - допустим, но только для тех, у кого есть и ключ, и комп. Ключ в телефоне уже используется как один из факторов.

Не устаю повторять, что аппаратный ключ у практически каждого в кармане лежит. Чип на карте который.

Надо только его использовать. Читать его, что телефоном, что компьютером - не настолько дорого. Даже если устройства для этого выдавать - они в производстве не дороже карт-ридера на один слот, если вдруг нужны. Хотя сейчас все чаще не нужны - и карты и телефоны все больше NFC уметь начинают.

Ну, а на что вы предлагаете заменить коды из СМС?

Я уже ниже описал как это сделано у моего банка: переводы авторизируются через приложение и только через него(ну или есть вариант вместо приложения взять у банка специальный девайс, но он стоит денег). При этом нужны биометрия, пароль и кроме того приложение "привязывается" к конкретным девайсам. И каждый раз когда я даю разрешение на перевод я вижу какая сумма и кому будет переведена.


То есть чтобы сделать перевод нужны пароль, правильный девайс и биометрия.


Плюс у нас по умолчанию все вещи вроде "оформить кредит онлайн" выключены. И если ты такое хочешь, то это ты должен официально попросить банк активировать это для тебя.

чтобы сделать перевод нужны пароль, правильный девайс и биометрия.

У нас ровно то же самое - для людей с нормальными телефонами. Код из СМС нужен, если вы делаете перевод через веб-приложение, например. В СМСке точно так же написано, какую конкретно операцию вы подтверждаете, и что отдавать код чужим людям нельзя. Взламывают-то мозги жертв по сути.

Код из СМС нужен, если вы делаете перевод через веб-приложение, например.

Значит не надо давать людям делать переводы через веб приложение. Или использовать в таком случае какие-то дополнительные виды авторизации/аутентификации.


Или разрешать им это делать, но под ответственность банка. Или нормально обьяснить им чем это грозит и пусть они подпишут что поняли с чем связываются(и не так что это просто одна галочка из 100500 в договоре).


В СМСке точно так же написано, какую конкретно операцию вы подтверждаете.

Если я всё правильно понял из статьи, то там это было написано латиницей...

не надо давать людям делать переводы через веб приложение

Проблема в том, что приложения основных банков выкинули из сторов.

Про латиницу всё понятно, это жлобская экономия на спичках (смски в 2 раза короче получаются). Да и кредиты полностью удалённо это как-то неправильно, хотя бы до банкомата дойди если уж праздники например новогодние и что-то случилось.

Проблема в том, что приложения основных банков выкинули из сторов.

Как будто проблема с "авторизацией через смс" появилась только после начала войны.


Да и приложения совсем не обязательно распространять через сторы. Как минимум в случае андроида уж точно.

у меня сейчас даже при оплате через веб, требуется зайти в приложение и подтвердить операцию, когда это новый "адресат"

У меня для бизнес счёта, первый перевод примораживается на 4-6 часов. Последующие исполняются уже мгновенно.

Увы, люди в большинстве не настолько умны, чтобы противостоять мошенникам самостоятельно. Больные, пожилые, просто уставшие люди часто под психических давлением делают вещи, которые никогда не сделали, было бы у них время подумать. Нормальные банки, которые думают о своих клиентах, должны заботиться о сохранности денег всех своих клиентов, а не становиться в позицию "сам дурак".

Тут всё-таки техническими средствами психологическая проблема не решается. Понимаете, жертвы мошенников под их влиянием не то что пальцем по экрану телефона проводят - они идут ногами с паспортом в банк, и там усиленно уверяют кассиршу, что им непременно нужно сделать этот перевод / снять деньги / итп. В смс-ках с кодами, как уже упомянуто в статье, в начале идёт капсом "никому не сообщайте этот код" — но люди сообщают.

Тут из технических мер помогла бы разве что сложная капча. Например, хочешь перевести деньги — а разгадай-ка сначала судоку. А уж потом вышлем код. Авось пока разгадывает, человек успеет выйти из состояния паники и начнёт понимать что происходит. Но не факт...

Я с вами не соглашусь. То есть конечно люди разные и кто-то достаточно легко даёт себя обмануть.

С другой стороны когда в Германии только появился онлайн-банкинг, то тоже были смс и даже тан-листы. И в целом безопасность мало кого интересовала. И была куча мошенников и достаточно большой ущерб от них.

Потом было несколько процессов и поменяли законы. Ответственность за такое мошенничества по дефолту переложили на банки. Смс и таны сами по себе официально признали не безопасными методами. И так далее и тому подобное.

И "внезапно" банки засуетились и начали инвестировать в безопасность онлайн-банкинга. И мошенничество упало на несколько порядков. Хотя вроде бы пользователи остались те же самые...

Вы пытаетесь решить не ту проблему. Она не со стороны банков.
В социальных сетях с большой скоростью распространяются кадры с упрямой пенсионеркой, отказавшейся поверить сотруднику правоохранительных органов.

На них видно, как полицейский уговаривает прекратить пожилую женщину беседовать с мошенником и пройти с ним в отделение, чтобы разобраться с правонарушением. Однако она категорически отказалась от помощи и отмахнулась от предъявленного удостоверения, полностью доверившись своему телефоному собеседнику, который представился аж генералом и начальником Следственного комитета.
www.vesti.ru/article/2623319
Мошенники там наверное по полу катались, пока убеждали бабку, что «генералу» виднее.

Можете хоть на 2 дня квест затянуть — найдутся те, кто его пройдет.

Естественно такие люди тоже есть и скорее всего и всегда будут. Но если мошенники смогут обманывать только таких(то есть одного на миллион), то мошенничество будет не особо выгодным. Потому что попробуй сначала такого найди.

А вот если обмануть можно каждого десятого или даже каждого второго, то тогда можно пробовать "наугад". И тогда на мой взгляд проблема не в людях, а в самой системе.

И как я уже писал выше в ряде стран эту проблему вполне себе смогли решить обязав банки отвечать за безопасность. Решить конечно не на 100%. Но как минимум уменьшить количество случаев успешного мошенничества и ущерб от него на несколько порядков.

Проблема в том, что уже сейчас все жертвы — такие. Звонят либо «менты», либо «дети».
Срочно нужны деньги, бла-бла-бла, никому не говори.
Ой, у вас деньги крадут, срочно скажите нам все коды.

Во всех случаях коды передаются добровольно и осознанно, под давлением авторитета и срочности.
Каждое сообщение с кодом начинается с «НИКОМУ НЕ СООБЩАЙТЕ КОД». Это вот прям первые слова СМСки.
От замены СМС на любой другой способ подтверждения, включая аппаратные ключи, не изменится ничего.
Можно только заставить подтверждать все лично — но клиенты первые ведь взвоют.

Если честно, то мне лень писать одно и тоже несколько раз. Я здесь уже неоднократно описывал свою точку зрения.

Если коротко, то в стране где я живу сначала тоже была система с смс как в описываемом случае. И была куча случаев мошенничества. Потом такой способ официально признали небезопасным и кроме того приняли закон по которому по умолчанию ущерб висит на банках.

И после этого ситуация радикально изменилась. Хотя пользователи остались те же самые.

То есть ситуация вполне себе способна измениться.

Я вам так скажу: я не готов расплачиваться своим удобством за чужую глупость.
А добровольно под программу усиленной защиты потенциальная жертва мошенников не подпишется, значит вводить надо всем.

А с чего вы решили что альтернативные, более безопасные, методы обязательно должны быть менее удобными?

То есть я бы сказал что вот эта вот возня с смс и кодами тоже не то чтобы особо удобный вариант. Даже если забыть про безопасность.

А с чего вы решили что альтернативные, более безопасные, методы обязательно должны быть менее удобными?
А какой более безопасный способ взять кредит вы видите? Личный визит в банк?

Ну во первых можно подключать опцию "взять кредит онлайн" только тем, кто действительно хочет её иметь. Одно это уже заметно усложнит жизнь мошенникам.

А во вторых можно точно так же давать кредиты онлайн, но при этом использовать более адекватные способы авторизации подобных вещей.

То есть у моего банка авторизацию можно делать только на зарегистрированных для этого дела девайсах и только через приложение самого банка. При этом в приложении очень хорошо видно что конкретно ты авторизируешь. Более того различные "типы" авторизации очень заметно "маркированы" разными цветами. Плюс ещё "нестандартные" вещи имеют поп-апы с предупреждениями.

И нет, это не даёт 100% безопасности. Но я готов спорить что если бы у банка из статьи всё было сделано точно так же, то мошенники бы обломались и статьи бы не было :)

2ФА по СМС уже сама по себе считается небезопасной. MS и гугл для входа в свои аккаунты давно рекомендуют использовать свои специальные приложения-аутентификаторы через пуши. Что мешает банкам делать то же самое непонятно.

СМС это всего лишь второй фактор, как и пуши. Странно то, что банковские приложения можно разблокировать с помощью самого смартфона (по отпечатку), хотя известно, что использовать устройство или биометрию, как первый фактор аутентификации небезопасно.

Во первых в разблокировке банковского приложения биометрией нет ничего ужасного. Естественно при условии что эта разблокировка сама по себе не позволяет совершать каких-то критичных вещей. Например переводить деньги или заключать кредиты.


Во вторых любой фактор сам по себе и в одиночку не является безопасным. Поэтому и нужна двух- а лучше даже и трёхфакторная авторизация для критичных вещей.


И в третьих смс как таковые в принципе не являются безопасными. Их по хорошему вообще нельзя рассматриватъ как полноценный фактор. И в куче стран мира это так.

Естественно при условии что эта разблокировка сама по себе не позволяет совершать каких-то критичных вещей. Например переводить деньги или заключать кредиты.

всмысле не позволяет? я разблокировал телефон и перекинул жене 100 рублей, разблокировал биометрией.

чтобы не вставать дважды, в Грузинском банке TBC это также работает

Ну в таком виде это не особо умно сделано.


Я могу разблокировать телефон и даже зайти в банковское приложение при помощи только биометрии. Но в приложении я при этом могу только посмотреть на счёт и заполнить перевод денег.


А вот чтобы деньги перевести мне надо перевод авторизировать. И это уже требует дополнительные факторы, одной биометрии не хватит.

А вот чтобы деньги перевести мне надо перевод авторизировать. И это уже требует дополнительные факторы, одной биометрии не хватит.

Я так понимаю это все напрямую зависит от банка

У нас закон так обязует делать все банки. То есть для авторизации переводов всегда нужны минимум два фактора.


Для авторизации вещей вроде подключения новой услуги даже вроде бы минимум три.

Во первых в разблокировке банковского приложения биометрией нет ничего ужасного. Естественно при условии что эта разблокировка сама по себе не позволяет совершать каких-то критичных вещей. Например переводить деньги или заключать кредиты.

Можно узнать все реквизиты, номера карт, cvv, получить выписки, перевести деньги. Если покопаться, то еще много чего может узнать злоумышленник.

Во вторых любой фактор сам по себе и в одиночку не является безопасным

Пароль безопасен, а уровень его надежности измерим.

И в третьих смс как таковые в принципе не являются безопасными. Их по хорошему вообще нельзя рассматриватъ как полноценный фактор.

Тоже самое можно сказать о пушах и биометрии.

Можно узнать все реквизиты, номера карт, cvv...

Это же не полностью в открытом допуске лежит. То есть для этого одного фактора достаточно.


А для перевода да, по хорошему нужен минимум второй фактор.


Пароль безопасен, а уровень его надежности измерим.

Нет, пароль не безопасен на 100%.


а уровень его надежности измерим.

Кроме самого пароля есть ещё например такие вещи как его хранение или вообще как с ним обращаются. И не только вы, но и сам банк.


Тоже самое можно сказать о пушах и биометрии.

Нет. Адекватно сделаные пуши и биометрику взломать гораздо сложнее и в куче случаев просто не окупится. Но да, их тоже не стоит использовать как единственный фактор при критичных вещах.

Это же не полностью в открытом допуске лежит. То есть для этого одного фактора достаточно.

А для перевода да, по хорошему нужен минимум второй фактор.

Мне недостаточно.

Представим, что злоумышленник завладел нашим смартфоном. Он без проблем получит наш отпечаток, зайдет в приложение, оформит перевод денежных средств, получит пуш уведомление, подтвердит операцию.

Адекватно сделаные пуши и биометрику

Подтверждение биометрией точно реализовано "неадекватно", с точки зрения безопасности. Если нет интернета, то подтверждение отправится по СМС, а не в пуш уведомлении.

Театр безопасности.

и в куче случаев просто не окупится

Справедливо и для СМС

Представим, что злоумышленник завладел нашим смартфоном.

Допустим. Но если я сообщил об этом банку в течении 24 часов, то это проблемы банка.


Он без проблем получит наш отпечаток

Как он его "без проблем получит" в таком виде чтобы это работало с телефоном?


зайдет в приложение, оформит перевод денежных средств, получит пуш уведомление, подтвердит операцию.

Это так не сработает. То есть либо вход в приложение и оформление перевода, либо подтверждение авторизации у меня нужно авторизировать паролем. Я могу выбирать что из этого. Но перевод без пароля не сделать.


Если нет интернета, то подтверждение отправится по СМС, а не в пуш уведомлении.

Если нет интернета, то у меня ничего никуда не отправится.


Справедливо и для СМС

Мы видим как это "не окупилось" в случае из статьи. Если бы там был пуш с привязкой к телефону и/или биометрия, то это бы так не сработало.

Как он его "без проблем получит" в таком виде чтобы это работало с телефоном?

Как снимают отпечатки и делают слепки?! Поинтересуйтесь.

у меня нужно авторизировать паролем

А у меня не нужно.

Если нет интернета, то у меня ничего никуда не отправится.

Как минимум в одном российском банке, отправляется.

Мы видим как это "не окупилось" в случае из статьи. Если бы там был пуш с привязкой к телефону и/или биометрия, то это бы так не сработало.

Что не сработало бы? Она сама передала код подтверждения из СМС.

Как снимают отпечатки и делают слепки?! Поинтересуйтесь.

Ну так на мой взгляд это не такой уж простой процесс. То есть украстъ смартфон и отпечатки будет однозначно гораздо сложнее чем замудрить кому-то голову по телефону.


Что не сработало бы? Она сама передала код подтверждения из СМС.

Угу. Так как бы она "передала" пуш или свою биометрию? Или свой смартфон?


А у меня не нужно. Как минимум в одном российском банке, отправляется.

Ну так если где-то там что-то там сделано криво совсем не означает что это нельзя сделать и по другому.


То есть мы возвращаемся к тому что банки в России надо просто прижать законодательно как это сделано в куче других стран.

Ну так на мой взгляд это не такой уж простой процесс.

Отпечатки есть на самом смартфоне, слепок делается с помощью клея.

Так как бы она "передала" пуш или свою биометрию?

Сама бы подтвердила все, что нужно.

Ну так если где-то там что-то там сделано криво совсем не означает что это нельзя сделать и по другому.

Можно, но это не отменяет того, что оба канала (смс и пуш) подтверждения не являются безопасными.

надо просто прижать законодательно

Согласен.

Отпечатки есть на самом смартфоне, слепок делается с помощью клея.

Попробуйте. То есть если у вас есть криминалистическая лаборатория, то может быть вам удастся найти на смартфоне подходящий отпечаток. Да и то не на любом смартфоне.

Можно, но это не отменяет того, что оба канала (смс и пуш) подтверждения не являются безопасными.

Пуш от моего банка у вас в принципе не получится перехватить или получить на чужом девайсе. С смсками это не так.

Сама бы подтвердила все, что нужно.

Если бы там большими красными буквами было написано "Осторожно, вы берёте кредит" и "Осторожно вы переводите крупную сумму на незнакомый счёт"? Сомневаюсь.

Тем более если и для оформления транскрипции нужен бы был доступ к телефону и биометрия/пароль.

Адекватно сделаные пуши и биометрику взломать гораздо сложнее

Только где ж их взять, адекватно сделаные-то...

Как говорится, "всегда помните, что ваше оружие security сделано тем, кто запросил минимальную сумму на тендере" (с)

Только где ж их взять, адекватно сделаные-то...

А это опять же не моя(и как я понял и не ваша) проблема, а проблема банка. Если он не может это сделать адекватно, то либо не предлагает такое, либо несёт ответственность.

Если он не может это сделать адекватно, то либо не предлагает такое, либо несёт отвественность.

вы чрезмерно доверяете банкам и их 'ответственности'

вы в курсе что рассмотрение оспоренной операции по пластиковой карте по правилам МПС может занимать 6 месяцев и более?
тут очень большая зависимость от страны где вы находитесь и её законодательства.
вы чрезмерно доверяете банкам и их 'ответственности'

Я скорее доверяю законодательной и исполнительной власти в моей стране :)


тут очень большая зависимость от страны где вы находитесь и её законодательства.

Естественно. Тут скорее речь о том что без давления со стороны закона банки точно шевелиться не будут. Вне зависимости от страны.

приняли закон по которому по умолчанию ущерб висит на банках.

Во!

Как только банки стали кровно финансово заинтересованы в том, чтобы мошенничества прекратились — они прекратились. Какая неожиданность!

Срочно нужны деньги, бла-бла-бла, никому не говори.Ой, у вас деньги крадут, срочно скажите нам все коды.

Однако следует учесть, что как минимум половина проблемы создана как раз тем, что деньги можно украсть быстро и с концами. Т.е. угроза выглядит достоверно. Если бы на 'деньги крадут' реакция была 'даже если и правда - банк вернет', - то такого давления бы не получалось.

И да, и нет. Если не делать ничего, то деньги вернут (даже если вообще смогут украсть). А вот если черт знает кому передавать все коды подтверждения — не знаю, не знаю, я с решением суда не согласен в данном случае.

Я вот не видел рекламы и объяснялок 'не делайте ничего'. Хотя казалось бы это вдолбить в головы легче, чем объяснять что-то про коды. Хотя, допускаю, что не обращал внимания.

Каждое сообщение с кодом начинается с «НИКОМУ НЕ СООБЩАЙТЕ КОД»

Проблема такого начала в том, что люди регулярно его игнорируют при добросовестном пользовании банком - потому что присланный код нужно куда-то сообщить, в этом и есть его смысл. Мне приходит код с этой фразой, когда я покупаю товар в интернет-магазине, и что я делаю? Правильно, сообщаю код путём его набора в соответствующей форме. Мне приходит код с этой фразой, а потом "сотрудник банка" просит его сообщить. Если вы отказываетесь, он говорит: всё правильно, код вы нам сообщать не должны. Нет-нет, ни в коем случае. Он же секретный. Сейчас вам со специального номера позвонит робот банка, наберите код на цифровой клавиатуре телефона. И человек точно так же сообщает код путём его набора.

Можно после СМС добавить звонок от робота, который озвучивает действие типа "Вы уверены что хотите оформить на себя кредит в 200тысяч рублей? Если да - произнесите вслух ДА, Я ХОЧУ ВЗЯТЬ КРЕДИТ". Мне так робот каждый раз звонит, когда сумма снятия или покупки больше моей средней или предела.

человек в этом состоянии скажет "да я хочу взять кредит" совершенно не колеблясь. Ему же так сказал товарищ капитан, звонил сейчас.

В интернетах встречаются истории от свидетелей, как не то что робот по телефону — кассир в банке отговаривает бабушку от неразумных действий, и ему пытаются помогать несколько человек, стоящих в очереди - но она предъявляет паспорт, пишет сумму прописью и ставит подпись везде где надо — и банк не имеет права отказать в выполнении распоряжения.

В белорусском Альфа-Банке при дистанционной подаче заявки на кредит нужно в приложении включить камеру и прочитать вслух то, что будет написано на экране. А написано там будет "Подтверждаю заявку на кредит на сумму ХХХ". Интересно: в российском Альфа-Банке процедура такая же? Думаю, что нет. Потому что на российскую Альфу как раз в сети много жалоб, что она кредиты мошенникам выдаёт.

Математика начнётся, но совсем другая.

Выплаты лохам намного больше расходов на безу.

Итого: расходы на безу приведут к минимизации выплат лохам.

И переложить эти расходы на клиентов не выйдет: все свалят от такого банка туда, где уважают математику.

А далее в дело вступает конкуренция и люди идут в тот банк, где обслуживание дешевле, т.к. банк минимизировал эти риски... Или банк просто начинает быть чуть более прибыльным.

А пока проблемы вешаются на клиентов, банкам выгодна именно данная ситуация с облапошиванием и "назначением" его должником.

Я считаю, что с обманом и вводом в заблуждении можно, и нужно бороться. И это делается с помощью образования, и повышения грамотности людей.

Вопрос ещё подключила ли пострадавшая себе функцию "кредит по смс" сама или наоборот у неё даже не было возможности от неё отказаться. И как то есть у меня подозрение что скорее второе чем первое...

Проблема в том, что в типовом договоре дистанционного банковского обслуживания типового банка всегда без исключения предусмотрена возможность подписания договора (дача согласия) путем ввода кода из полученного СМС сообщения. Это так называемая простая электронная подпись. И далеко не все понимают суть происходящего, но их вынуждают пользоваться и принимать решения. Было бы неплохо, что бы все функции первоначально были отключены и включались клиентом самостоятельно по мере необходимости при личном посещении или через направлении согласия подписанного усиленной квалифицированной электронной подписью

Да, юридически - это договор или оферта, подписанные простой электронной подписью, что юридически приравнивается к рукописной. Это бред, который изложен в 63-ФЗ и позволяет мошенникам и просто хитрым сотрудникам организации вводить в заблуждение людей.

Побольше бы подобных решений судов, чтобы такой беспредел прикрыли. Что писать мелкими буквами в договоре большие тексты непонятными терминами, что подписывать кредитные договоры СМС-ками - это неверный путь.

Даёт тут банковская система, которая все завязала на СМС. Если банку наплевать на безопасность, ответственность должен нести сам банк, а не клиент.


Как мне запретить использование смс в качестве второго фактора и указать обязательное использование аппаратного ключа для всех дистанционных операций? Как мне запретить смену пароля по СМС? Никак? Ну так не перекладывайте на меня вину за ваши решения и сами разбирайтесь с убытками.

Давайте заменим код из смс на считывание карты и ввод pin-кода. Что изменилось?
В СМС хотя бы черным по белому (в зависимости от темы на телефоне) написано — никому не передавать код. Передают.
С PIN-кодом таких напоминаний нигде нет. Но если бы были — плевали бы точно так же с высокой колокольни.

Проблема ведь не в том, что кто-то трояном или как-то еще упер код. Его осмысленно передали.

Нет, не давайте. Давайте можно будет аппаратный ключ использовать в качестве второго фактора? И давайте можно будет запретить сброс пароля любым способом кроме одного: прийти в отделение с паспортом?


Проблема смс в том, что это не второй фактор, а единственный. Кодом из смс можно сбросить ваш пароль. При том, что смс можно перехватить, а симку перевыпустить, это сводит на нет всю безопасность. А ещё, большинство настраивает разблокировку телефона и вход в приложение банковское по отпечатку пальца. Злоумышленнику достаточно дать жертве по голове и делать что угодно, прикладывая палец жертвы.


Банки плюют на безопасность, потому что это снижает их издержки и потому что платит, в случае проблем (которые они создали) клиент.

Нет, не давайте. Давайте можно будет аппаратный ключ использовать в качестве второго фактора? И давайте можно будет запретить сброс пароля любым способом кроме одного: прийти в отделение с паспортом?
Давайте. Это никак не помешает жертве из новости отправить деньги черт знает куда. Как и 99% других жертв, у которых не отрезают пальцы, чтобы пройти сканер отпечатка, и не перехватывают СМС, а тупо по телефону говорят: «переводи», и они переводят, отмахиваясь от сотрудников полиции.

Помешает. Жертва, как правило, не знает, что она что-то куда-то переводит. Мошенники просто просят код и лечат, что он нужен, чтобы "отменить кредит" и т.д. Я несколько раз развлекался и косил под дурака при таких звонках, ни разу меня не просили самостоятельно переводить деньги, каждый раз вымогали код.

И вы полагаете, что диктовать код с аппаратного токена будут гораздо реже, чем из СМС или со скретч-карты?

В СМС хотя бы пишется "nikomu ne soobschaite" (а мне пуши приходят даже по-русски "никому не говорите"). А с аппаратным токеном даже этого не будет.

Не надо мешать все векторы угроз в одну кучу. Выпуск поддельной симки недобросовестным сотрудников мобильного оператора - одно. Добровольное сообщение кода охмуренным пользователем - другое. И защищаться от разных угроз надо по-разному.

И вы полагаете, что диктовать код с аппаратного токена будут гораздо реже, чем из СМС или со скретч-карты?

А не надо никакого кода, который можно сообщить. Аппаратный токен в идеале должен использоваться в виде "приложи/вставь его к чему-нибудь, на чем понятным языком показано, что именно происходит"

Но даже если такой код есть - то он может еще использоваться в режиме "звонящий доказывает, что он обладает нужными полномочиями. Т.е. можно приучить людей, что первым делом звонящий сообщает тот код, что человек на токене может увидеть. Где-то так, как в начале этого ролика.

И вы полагаете, что диктовать код с аппаратного токена...

Я уже понял, что вы в принципе не понимаете, о чем пишите. Давайте закончим на этом.

Да о чем вы, жертвы даже не гнушаются пойти, снять деньги в банкомате и отнести их в терминал пополнения в переходе, а там перевести черт знает куда по номеру телефона (как правило на QIWI). Это вообще одна из самых старых и базовых схем.
Помешает. Жертва, как правило, не знает, что она что-то куда-то переводит.
Там написано… «После подтверждения произойдет списание ХХХ руб».

Я выше ссылку на статистику давал https://www.cbr.ru/analytics/ib/operations_survey_2021/

Тех, которые пошли ('Операции без согласия клиентов в банкоматах, терминалах, импринтерах', как я понимаю) - тех во много-много раз меньше, чем всего пострадавших.

И давайте можно будет запретить сброс пароля любым способом кроме одного: прийти в отделение с паспортом?

Нет, не давайте. Не для того я на Тинькофф подсел лет 10 назад, чтобы по отделениям шляться.

Проблема смс в том, что это не второй фактор, а единственный. Кодом из смс можно сбросить ваш пароль.

Может быть в каком-то банке и можно. Но во всех моих - нельзя. Как минимум дополнительно нужен звонок в банк и дополнительные проверки. Конечно, при текущих масштабах сливов с адресами и паспортами такое тоже возможно, но существенно сложнее. И в реальности случаев "банк восстановил пароль" существенно меньше, чем "пользователь продиктовал секретный код".

100% защиты вы не получите. Даже сверхсекретные документы утекают. Но начинать стоит с наиболее масштабных случаев, с наибольшим ущербом, а не с исключительных ситуаций.

И очень хотелось бы узнать, почему из "симку можно перевыпустить по поддельным документам" делается вывод "поэтому пусть банки страдают". В моем мире было бы логично предъявлять претензии к выпускающим поддельные симки. Не?

Нет, не давайте. Не для того я на Тинькофф подсел лет 10 назад, чтобы по отделениям шляться.

Да без проблем. Используйте смс и несите убытки сами, а я хочу запретить использование смс, но мне не дают.


Может быть в каком-то банке и можно. Но во всех моих — нельзя

Дальнейший разговор не имеет смысла, вы даже не знаете условия своего тинькова. Зная номер карты (не секретная информация) и имея код из смс, можно сбросить пароль.


https://www.tinkoff.ru/bank/help/tinkoff/online-banking/start/enter/


100% защиты вы не получите

Ага, поэтому дверь не запирайте совсем. Паноптикум...

Ага, поэтому дверь не запирайте совсем. Паноптикум...

А вы предлагаете ставить дверь от золотохранилища в каждую квартиру с обычными стеклопакетами?

Впрочем, если для вас номер карты - не секретная информация...

Я как-то сдуру в чате банковского приложения написал номер карты целиком. Так меня отругали, что можно только последние 4 цифры указывать.

Используйте смс и несите убытки сами, а я хочу запретить использование смс, но мне не дают.

Кто не дает? В вашем банковском приложении нет возможности переключиться на пуши? Меня наоборот всячески к этому мотивируют, ибо это для банка дешевле.

Нюансы разве что в "полностью переключиться на пуши или использовать их как как основной канал, но если недоступен, тогда прислать SMS". Скажем, если не активировал Интернет-роуминг.

Впрочем, если для вас номер карты - не секретная информация...

Номер карты - не секретная информация. А вся 'секретность' по их поводу - это театр безопасности, устроенный платежными системами. Потому что если бы он был секретным - то его бы не могли увидеть, скажем, продавцы в магазине и его нельзя было бы прочитать со слипа (такая стааарая технология, относящаяся к кредитным картам).

Мы живем не в двоичном мире "секретно / не секретно".

Действительно, помимо номера карты для полного счастья нужна еще дата и CVV. И все чаще и подтвержение для 3D Secure. Но ваш паспорт вы светите еще чаще. Причем его не то что может кто-то случайно подглядеть (вероятно по камерам, ибо уже давно мне дают терминальчик, а не берут карту, я уж молчу про оплату смартфоном), но и наверняка отдаете копии, позволяете его записать на каких-нибудь проходных... При этом вряд ли стоит светить его в Интернете.

Для восстановления доступа в ЛК нужен не только номер карты, но и телефон. И для реализации такой угрозы нужен сговор кассира и недобросовестного оператора салона сотовой связи, восстановившего симку. Не часто встречающаяся ситуация, такой риск я просто принимаю, но не заморачиваюсь по его поводу.

А вот сводная база номеров карт с телефонами - это серьезнее. Лучше минимизировать такой риск. Поэтому мне не нравится отношение к номеру карты, как к "театру безопасности". Незачем облегчать работу злоумышленникам.

Кстати, и на обороте я CVV всегда заклеиваю, чтобы так просто не подглядеть даже взяв в руки.

А зачем вы вообще в наше время используете карты с CVV? То есть в каком конкретно сценарии без них не обойтись?

Не понял вопроса.

На всех моих физических картах есть на обороте три циферки. Я крайне редко пользуюсь именно физическими картами, предпочитаю бесконтактную оплату с телефона. Но если по какой-то причине я вынужден именно физическую карту передать, на ней есть CVV. И я его заклеиваю.

А что касается сценариев, где мне самому CVV требуется - так практически везде при оплате в Интернете.

Можно дискутировать про оплату виртуальными картами (и это правильно), но "живость" CVV это не отменяет.

Я CVV знаю только со старых кредиток. На новых картах у меня их нигде давно уже нет. То есть для "физической оплаты" они вообще не нужны.

А для оплаты в онлайне у нас есть различные варианты. То есть например пейпал и его аналоги от банков. Или можно платить "напрямую" с банковского счёта.

То есть "кредитка с CVV" по хорошему вообще не нужна. Более того куча онлайн-магазинов уже давно даже не предлагают её как вариант оплаты. Именно потому что не особо безопасный вариант...

Интересно.

Вот Azure смотрю:

Либо карта с CVV, либо check/wire transfer.

Прикольно. Даже не слышал про такое.

Местные немецкий "исторически сложившийся" прикол. То есть Lastschrift это такая своеобразная "долговая расписка". Можно указать кто и сколько денег может от тебя получить. Причём как разово, так например и несколько раз к определённым датам. Или например чтобы ежемесячно сколько то могли снимать пока ты это не отменишь.

Есть в похожем виде ещё в ряде европейских стран. И если я ничего не путаю в США тоже есть какой-то аналог, но название забыл.

Чем-то чеки напомнило.

Я раньше думал это рудимент, а потом впечатлился в Израиле: при аренде квартиры сразу выписываешь чеки на последующие месяцы (с датами). И "вперед" платить не нужно. И арендодатель не парится. Это уже арендатор озабочен иметь не счету требуемую сумму к нужной дате, чтобы не огрести от банка.

По идее это чеки и есть. Но вроде бы существует какая-то специальная разновидность.

Я крайне редко пользуюсь именно физическими картами, предпочитаю бесконтактную оплату с телефона.

Расскажите, как Вы в интернете покупаете "бесконтактно с телефона"?

Расскажите, как Вы в интернете покупаете «бесконтактно с телефона»?

чтобы покупать в интернете не нужно иметь физическую карту, достаточно виртуальной

а вообще (если прям придираться) можно по qr коду оплатить в интернете, не то чтобы это популярный способ но я разок уже сталкивался ;)

Действительно, помимо номера карты для полного счастья нужна еще дата и CVV.

Раньше, когда карты были эмбоссированными, номер был спереди, а CVV сзади, поэтому смысл был — подсматривая номер, не видишь CVV.

Но в последнее время все перешли на карты без эмбоссирования — и номер, и CVV напечатаны сзади. За что боролись?

Мне кажется, эмбоссированный номер (а так же дата и имя) были нужны больше для слипов, чем для человека. Сама процедура включала передачу карты в руки другого человека.

Сейчас такого в ареале моих появлений практически не осталось. Карту не то, что никому не передаю, но даже и не достаю. Оплата преимущественно смартфоном.

Исключение, пожалуй, неименная карта, полученная на заправке. Вот ее физически прикладываю для получения скидки. Но все равно в руки не передаю.

Касательно оплаты в Интернете (к впоросу выше) - я не делаю это физическими имеющимися у меня картами. Ввожу данные из виртуальных (с жесткими лимитами либо с предварительным пополнением на требуемую сумму). Можно использовать автозаполнение из какого-нибудь Roboform, благо потом все равно придет код на другое устройство.

Светить номер карты или счёта без надобности действительно не стоит. Как впрочем и любые ПД. Но секретными они не являются.

Тинькофф уже несколько лет все кроме кардхолдера печатает на обратной стороне карты.

Давайте заменим код из смс на считывание карты и ввод pin-кода. Что изменилось?

Изменилось то, что ни то ни другое не сработает без физического доступа к карте. Вот мой пинкод от карты: 3892. Можете попытаться меня взломать.

У телефонных мошенников нет физического доступа к карте. Они все равно уговорят пенсионера эту карту считать. «Генералу ФСБ» виднее.
Вы можете мне любой код из СМС с тем же успехом написать. Это мне тоже ничего не даст.

Ни в коем случае нельзя возлагать на пострадавшую даже часть вины, потому что банк в этом случае остаётся в двойном выигрыше, навязав кредит человеку который не собирался его брать (+1 клиент бесплатно), а пострадавшая в двойном проигрыше - её обманули на деньги, и она ещё будет выплачивать на эти деньги проценты. Соответственно, банкам будет выгодно само существование таких мошенников, и они не то что не будут помогать с ними бороться, а даже наоборот - могут специально придумывать и создавать для мошенников лазейки. Плюс, у банков есть огромные возможности по оперативному отслеживанию мошеннических действий, а у клиента таких возможностей нет в принципе. Поэтому я считаю что полную ответственность за последствия кредитного мошенничества должен нести только банк. Это побудит банки как совершенствовать свою систему безопасности в интересах клиентов, так и максимально содействовать следствию в поиске и поимке таких мошенников.

Тоже согласен, часть вины лежит и на пострадавшей. Я, конечно понимаю, есть люди очень внушаемые и доверчивые, но сколько уже лет из каждого угла людям талдычат, что нельзя диктовать коды другим людям, что сотрудники банков по телефону коды не запрашивают, что коды только для использования самим человеком, и даже в самих смсках предупреждения "никому не сообщайте код", но люди с поразительным упорством продолжают сливать коды мошенникам в ситуациях, когда разводилово очевидно.

Я бы на месте законодателей на законодательном уровне прописал бы необходимость при дистанционных оформлениях кредитов или дистанционных переводах больших сумм звонить человеку и спрашивать у него подтверждение, типа "Здравствуйте, Иван Иванович, вы сейчас на нашем сайте/ в приложении оформили кредит на N рублей, это действительно были вы?".

а толку? он совершенно честно скажет что да, это был он. Да, он действительно хочет сделать этот перевод... ему тащ майор сказал ни за что не говорить сотрудникам банка про таща майора, и что сотрудники банка могут быть в сговоре с мошенниками...

В таком случае оператор может дополнительно спросить о причинах кредита\перевода. И если мошенничество очевидно, остановить операцию "до выяснения"(такая практика уже есть, тот же 115ФЗ).

Вообще считаю негативным проявлением что у нас очень упрощена процедура получения денег в долг, буквально пару кликов и ву-аля ты торчишь банку, коллекторам и тд.

Зато когда тебе действительно нужен будет кредит, с тебя затребуют пачку документов на каждый твой чих, а потом откажут.

UFO just landed and posted this here

В Сбере есть искусственная задержка на кредитах через приложение. По крайней мере год назад точно была. Интересно, насколько это помогло.

А ещё там на каждую операцию выше среднестатистической звонит робот и проговаривает голосом что Я хочу сделать и голосом просит же подтвердить, можно и без задержек, вполне отрезвлять должно.

звонит робот и проговаривает голосом что

Хорошо бы, если бы ещё проговаривал "... Вы понимаете, что вы, вот лично вы, должны будете нам черех X месяцев отдать Y денег?"

UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here

Оно сейчас примерно так работает, что при заключении договора с банком, в нём есть пункт об открытии ЭЦП. Все операции через смс или в приложении банка считаются подписанными этой ЭЦП.

Есть еще большая дичь, от сбербанка.

Согласно письма Центробанка, клиент имеет право написать письменный отказ от онлайн кредитов и онлайн переводов. На что я и пошел в сбербанк, персонал первый раз слышал об этом руководящем документе. Причем с руководителем состоялся интересный диалог,

А что на вас уже оформляли онлайн кредиты?

Я, нет!

Зачем тогда вам это надо?????

Написал жалобу, пришел ответ, причем я даже не знаю как сказать что за ответ.

Надо будет написать жалобу в Центробанк, что сбербанк отказывается меня защитить от мошенников, и приложить еще диктофонную запись с сотрудниками.

Приведите пож-та ссылку на письмо Центробанка, или его реквизиты хотя-бы, я бы тоже сходил в банк. Чем больше будет прецедентов, тем быстрее шевелиться начнут

Да, к сожалению. Без пинка в РФ не один соц. механизм нормально в РФ не работает.
Проверено личной практикой, неоднократно, зато как шестерёнки прокрутятся, бегают с подпаленной жопой.
А люди ленивы по своей природе. Большинство поворчит и забудет, максимум обсудит это в курилке.

"А чтобы тебе быстрее было идти — вот тебе волшебный пендель!" — оно вообще-то с жизни списано!

Указание Банка России от 18 февраля 2022 г. N 6071-У “О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"

"В случае", "могут" - сходу приходит в голову пара вариантов, как банки могут либо отказать, либо сделать эту опцию крайне неудобной.

клиент получает несколько СМС-сообщений, в которых указывается цель совершаемой операции. Текст таких сообщений всегда начинается с предупреждения, что их содержание никто знать не должен.

Банк здесь несколько лукавит. Код присылается для того, чтобы клиент его куда-то ввёл, то есть кто-то или что-то всё-таки должен узнать код. И клиент сам регулярно "сообщает" содержание сообщения, когда вводит код на сайте интернет-магазина для совершения покупки.

А мошенники используют нехитрую уловку. Они говорят, что код вы нам сообщать не должны. Нет-нет, ни в коем случае. Он же секретный. Сейчас вам со специального номера позвонит робот банка, наберите код на цифровой клавиатуре телефона. Вот и всё.

Уточнение: он вводит код на сайте банка, а не интернет-магазина. Хотя разница понятна только тому, кто хоть немного понимает в компьютерах.

Сделали бы банки таймаут 3 дня с обязательным звонком клиенту из банка и устным подтверждением взятия кредита. У меня кстати другая ситуация. 3 раза пытался в разное время (между попытками пауза в полгода/год) взять кредит в сбере онлайн. И ниразу у меня это не получилось - все 3 раза мне блочили сбербанк онлайн. И я 3 раза ходил в банк чтобы восстановить доступ. Один раз ещё и карту заблочили.

Что вы, так нельзя, ведь кредит берется чтобы совершить ненужную импульсивную покупку, а потом долго и нудно за нее расплачиваться. Вы бы еще предложили учить население финансовой грамотности, а не ходатайствовать правительству пустить детей на МосБиржу. Эдак до крамолы недалеко, если люди думать начнут!

Вы так пишете, будто проблема в том, что ей выдали кредит.

Хотя на самом деле она бы в худшем случае попала бы на какие-то проценты в пользу банка. ТОгда бы это все более-менее откатили, такого сыр-бора не было бы.

Но основная беда в том, что средства вывели с ее счета. Из-за кредита просто сумма выведенного несколько больше получилась.

В том, что она сделала перевод на неизвестный счет (сказав код фиг знает кому?) тоже банк виноват?

Если да, то как тогда переводы осуществлять нормальным людям?

Если да, то как тогда переводы осуществлять нормальным людям?

Ну например сделать систему в которой "код" просто в принципе нельзя будет сказать кому-либо. То есть просто не использовать для этого смсы.


У меня например сейчас переводы авторизируются через приложение и только через него(ну или есть вариант вместо приложения взять у банка специальный девайс, но он стоит денег). При этом нужны биометрия, пароль и кроме того приложение "привязывается" к конкретным девайсам. И каждый раз когда я даю разрешение на перевод я вижу какая сумма и кому будет переведена.


И да, такая система тоже не безопасна на 100%. Но в таком варианте даже условных пенсионеров обмануть заметно сложнее. Тем более только по телефону.

Да причем тут СМС? В данном случае вроде речь не о "мошенник в сговоре с сотрудником мобильного оператора выпустил новую SIM карту и получил на нее код подтверждения". От такого защита часто встречается.

В случае же "злоумышленник запудрил мозги жертве и она сама продиктовала секретный код" неважно, откуда этот код взялся. SMS, скретч-карта, аппаратный токен генерации одноразовых кодов...

Люди вон квартиры продают и деньги добровольно на счета злоумышленников переводят.

Ну так именно что она продиктовала код. То есть мошенники всё смогли сами подготовить и им не хватало только одного единственного кода. Который кроме того был всего четырёхзначный, легко читаемый и предназначался для "ручного ввода" куда-то там.


Представьте как бы этот вариант сработал если бы вводить данные для кредита/перевода мошенники сами не могли? И если бы при авторизации перевода у пострадавшей в приложении выскочил бы баннер "Вы хотите перевести деньги на незнакомый счёт. Вы уверены?"?

И если бы при авторизации перевода у пострадавшей в приложении выскочил бы баннер "Вы хотите перевести деньги на незнакомый счёт. Вы уверены?"

В этом отношении я пессимист. Для человека, "машинально сообщающего код" из СМС, в которой явно написано "никому не говорите этот код" я бы не ждал вдумчивого чтения дурацких всплывающих окошек в банковском приложении.

Да и с чего вдруг у меня, имеющего банковское приложение и на смартфоне, и на планшете, баннер должен появляться на "другом" устройстве, не том, с которого я ввожу запрашиваемый секретный код...

Сложность нормальным пользователям при этом добавит существенно. Уехал в командировку только с телефоном, без планшета - опаньки.

Помню, в свое время банк выдал скретчкарту. Так я первым делом десяток кодов с нее забил в Roboform, чтобы всегда были под рукой. И после использования добавлял еще. Ибо онлайн банкинг - это чтобы в любой момент, в любом месте пользоваться услугами.

Вот как у злоумышленников получилось "все подготовить" - это отдельный вопрос, который в посте не раскрыт. Возможно и еще раньше были коды на авторизацию в личном кабинете (не только два описанных - на выдачу кредита и перевод).

В этом отношении я пессимист.

А я реалист. И вижу что в РФ с её "авторизацией по смс" эти проблемы есть и вполне себе часто. А в других странах их почему-то нет. Хотя люди по идее везде более-менее одинаковые.


Да и с чего вдруг у меня, имеющего банковское приложение и на смартфоне, и на планшете, баннер должен появляться на "другом" устройстве, не том, с которого я ввожу запрашиваемый секретный код..

Он должен появляться там где вы проводите авторизацию. Но можно например сделать так что вводить её будет разрешено только на конкретных девайсах, которые вы для этого регистрируете в банке. И к которым у мошенников по идее доступа нет.


Сложность нормальным пользователям при этом добавит существенно. Уехал в командировку только с телефоном, без планшета — опаньки.

У меня всё работает с одного только телефона. Но при этом только с конкретных телефонов(мой и жены), а не с любых. И нужно вводить пароль и нужны отпечатки пальца владельца телефона.

Он должен появляться там где вы проводите авторизацию.

В том и сложность, что авторизация производилась с устройства злоумышленников. Они вводили код, пусть и продиктованный.

Чтобы предупреждение увидел "настоящий владелец счета, сообщивший код невесть кому", нужно, чтобы баннер появлялся на другом устройстве. И нормальным пользователем это большое неудобство.

Ну так а зачем банк разрешает проводить авторизацию с любого рэндомного девайса?

Зачем используют "коды" , которые можно получить на одном устройстве, а ввести "вручную" на любом другом?

Зачем используют "коды" , которые можно получить на одном устройстве, а ввести "вручную" на любом другом?

Потому что считается, что оно 2FA. Получать код на том же устройстве, где ты его ввести собираешься, как бы неправильно.

Ну так и не надо такие коды использовать. Об этом и речь.

"Двинутые на безопасности" товарищи (в хорошем смысле этого слова) как раз считают правильным иметь отдельный кнопочный телефон для получения кодов по SMS. И вводить их вручную на устройство с установленным приложением.

Это позволит защититься от всяких троянов, которые, поселившись на устройстве, создадут в приложении нехорошую транзакцию, перехватят код, пришедший на это же устройство, и транзакцию подтвердят.

Я ни в коем случае не пытаюсь убедить, что нынешние схемы идеальны. Я пытаюсь показать, что любое усиление безопасности приведет к недовольству. И нужно учитывать интересы и искать компромисс и для "двинутых на безопасности" и для "сообщающих код из смски, начинающейся со слов 'никому не сообщайте этот код'" и, тем более, для обычных пользовтелей, кои и составляют основную массу пользователей. И интересы бизнеса (банка) тоже нужно учесть. Если мне станет неудобно пользоваться его услугами, я моментально свалю в другой.

как раз считают правильным иметь отдельный кнопочный телефон для получения кодов по SMS

Мы можем обсудить насколько оно оправдано или нет иметь смс как ещё один дополнительный фактор. Но это не отменяет вопроса зачем разрешать делать авторизацию с любого девайса?

Есть ведь опция "пополнение своего счета с другой карты".

Не особо понимаю зачем эта опция нужна. Почему просто не взять и не сделать обычный перевод со счёта этой самой "другой карты" на счёт, который нужно пополнить?

И в теории даже если вводить реквизиты "с ноута", то главное чтобы авторизация проходила только с девайса, который зарегистрирован в банке откуда снимают деньги.

UFO just landed and posted this here

И что?

По-любому вероятность, что один и тот же человек и смартфон хакнет, и получит доступ к SMS на другом (кнопочном) телефоне, существенно ниже, чем только "хакнет смартфон".

При 2FA одного кода по определению не достаточно, нужен второй фактор (пароль например).

Помимо моего ответа ниже, пришла в голову еще мысль.

Есть ведь опция "пополнение своего счета с другой карты". Причем это даже из-за рубежа сейчас кое-где работает.

Т.е. я совершенно спокойно могу в одном банковском приложении, да хоть с ноута, зайти в свой аккаунт банка А, выбрать такую опцию и ввести реквизиты карточки (номер, дата, CVV) совершенно другого банка Б. ФИО, кстати, сейчас по-моему редко проверяется.

Код придет на устройство, зарегистрированное для банка Б, и уж точно не на ноут. После ввода кода на ноуте с карточки Б деньги спишутся и зачислятся на счет в А. Как правило, в выписке это будет выглядеть, как "снятие наличных в другой кредитной организации".

В данном сценарии даже аккаунт жертвы взламывать не требуется. Достаточно пресловутого кода, который по определению обязан приходить ни разу не туда, где транзакция инициируется.

У нас всё ещё много пожилых людей с кнопочными бабушкофонами и не очень острым зрением. И у них есть выбор: топать в банк/на почту для оплаты квартплаты и стоять там в очереди либо продиктовать код родственнику/опекуну/соцработнику для оплаты с пенсионной карточки...

И у них есть выбор: топать в банк/на почту для оплаты квартплаты и стоять там в очереди либо продиктовать код родственнику/опекуну/соцработнику для оплаты с пенсионной карточки...

А возможность третьего варианта вы не допускаете? Ну то есть я уже пару-тройку лет как никакие коды никуда не ввожу. И в филиале банка тоже минимум год не был. Но переводы при этом спокойно делаю.


То есть я открываю зарегистрированное в банке приложение(причём не обязательно от самого банка) и для авторизации ввожу логин и пароль. И ввожу данные для перевода. Ну или там считываю QR/сканирую счёт.


После этого нажимаю "авторизовать перевод". После чего открывается уже приложение для авторизации от конкретно моего банка(которое я опять же зарегистриеовал в банке для конкретного телефона). Лично у меня там сконфигурировано что надо ещё раз вводить логин и пароль и нужен отпечаток пальца. Там нормально написано кому и какую сумму я перевожу. И я подтверждаю перевод.


Плюс если я ещё ни разу в прошлом не переводил деньги на этот счёт, то появляется предупреждение. Если сумма выше выставленной мною границы, то появляется ешё одно предупреждение. Если выше выставленного мною лимита, то выскакивает ошибка.


Единственный минус этой системы что всё нужно регистрировать в банке. То есть если поменял телефон, то пока новый не зарегистрируешь, то ничего на нём не работает. Поменял стороннее приложение — аналогично.

Ну у нас это точно так же работает. Можно в приложухе подтверждать, но даже в случае СМС банк видит IMEI и не пропустит на другой телефон. Нужно будет как минимум звонить в банк.

Только речь о тех, у кого и приложение не поставишь и QR код сканировать нечем, потому что телефон кнопочный. Впрочем ладно, для таких уже частично недееспособных банки вводят спец-режимы.

Но в истории из статьи злоумышленники ведь как-то смогли ввести коды со своего девайса. То есть там этой "защиты" не было.

Так СМС пришла на правильный телефон

А ввели её непонятно где. То есть последний шаг авторизации был сделан на каком-то рэндомном девайсе.

А у нас так нельзя. Даже когда ещё смсы использовали, то код всегда надо было вводить на девайсе, который зарегистрирован у банка.

А как регистрация проходит? Вот покупает клиент новый компьютер/планшет/телефон, распаковывает все, заходит в банк клиент. Вебовский или приложение. Тот вопит 'не знаю такого устройства'. Дальше что?

Дальше, обычно, надо звонить в банк с новой симки, но этого телефона, там с тобой поговорят человеческим голосом, спросят секретное слово и допустим что-то про недавнюю операцию, типа куда или сколько. Если не могёшь сказать, то ходи ногами в отделение (с паспортом). Если можешь, то через какое-то небольшое время всё заработает.

Обычно в приложении предлагают зарегистрировать новый девайс. Потом ты задаёшь всё что от тебя хотят и в конце выбираешь способ авторизации нового девайса.

А доступные способы уже зависят от банка и того что ты указал в договоре.

Например придти лично в банк и закончить процедуру там. Или  через заказное письмо с идентификацией личности через почту. У некоторых можно в филиале указать "мастер-девайс" и тогда с него потом можно авторизировать другие.

(Ответ @Kanut ) Я за вас горд. Мне, допустим, бывает удобнее сделать платёжку на компе через интернет-банк и подтвердить её с телефона. Допустим, если там надо вбивать какие-то большие числа типа номер счёта. Мне удобнее скопировать.

Номера счёта я обычно просто сканирую банковским приложением с самого счёта. И это как раз можно в теории делать и на рэндомном девайсе через любое приложение(но можно также указать что можно только с определённых).

Главное что именно конечная авторизация идёт с привязанных девайсов.

И что по умолчанию за косяки отвечает банк.

В России нормальный номер счета вроде IBAN со стандартным написанием со страшным скрипом внедряется, поэтому сканировать (да и набирать) очень неудобно.

Вот в результате и используются для указания всякие суррогаты вроде номера карты/номера телефона/QR-кода.

QR-код у нас тоже для такого часто используется. Но в целом куча банковских приложений без особых проблем парсит обычные счета.

То есть проверять всё равно надо. Иногда какие-то мелочи поправлять. Например умляуты или там сумму с НДС или без. Но в целом неплохо работает.

Я недавно впечатлился что у некоторых торговцев на нашем местном рынке появились вывешенные на точке бумажки с QR-кодом для быстрой оплаты переводом.

В РФ это не так.
Kanut похоже из ЕС, у них PSD2 есть, из-за чего можно те самые сторонние приложения официально использовать.
А в России если тебе надо дать доступ стороннему приложению к выпискам и ты физик — то штатно есть разве что у киви/ЯД. В результате та же ДзенМани лезет достаточно интересными способами (и требует банковские логин и пароль + смс код для входа если банку он нужен), вместо использования нормальных интеграций.
Вот почему не дать нормальный API?

Точно! Поэтому ради ДзенМани я долго предпочитал оставаться на SMS, а не пушах (несколько лет назад они пуши не умели читать). Чтобы и интеграция была (тразакции вносились, остаток обновллялся автоматически), и пароль от ЛК не указывать.

А то, что вы описываете - это так в Узбекистане сделано? Я очень удивился, что в приложение Апельсин можно легко доавить свои карты других банков и пользоваться ими, "как родными".

Как в Узбекистане сделано — я не знаю.

Всё правильно. И про EС и про PSD2.

Единственное что на этот самый PSD2 банки не то чтобы добровольно перешли. То есть как минимум в я Германии их точно так же на законодательном уровне обязали это сделать.

То есть клиент берёт кредит удалённо, подтверждая кодом SMS, тут же удалённо переводит деньги фиг знает куда, и в банковской системе ничего не ёкнуло: а может что-то не так? Может перезвоним клиенту и переспросим, понимает ли он что делает?

Для банка здесь нет ничего сильно подозрительного. Человек взял кредит, человек вывел деньги с карты банка чтобы этот кредит использовать (например, снять в банкомате или объединить с имеющимися деньгами в другом банке).

И как часто среднестатистический клиент проводит такие цепочки операций удалённо через SMS? Чтоб даже паспорт не попросили, и не сфотографировали клиента в момент получения кредита. Я вот ни разу. Вам приходилось? Можно было бы опрос устроить.

Не думаю, что Хабр - целевая аудитория потребительских кредитов без заявленной цели. Что совершенно не означает, что такие кредиты никто не берёт. Да банально недавние истории "собери мужчину на мобилизацию в кредит" - вот ровно он самое: взяли кредит, вывели в нал, купили нужное на рынке или в магазине. При покупке б/у машины так некоторые делают, для того чтобы дома ремонт сделать, и так далее. Нет, тут как такового подозрительного поведения нет.

Всё так, но клиент перевёл деньги на счёт не принадлежащий ему и ранее на него не переводил, а не обналичил.

А разве МТС-банк может узнать, кому принадлежит счёт номер такой-то в Сбербанке?

Знает. Любой банк знает что вы переводите себе и/или ранее на этот счёт уже переводили.

при переводе через СБП видно Имя Отчество Ф., так что в таком урезанном виде - может.

Да, мне и моим друзьям приходилось в сбере/альфе.

Всё за пару кликов сразу с телефона, одобрение 15-30 минут. Деньги приходят на карточку и делай с ними что хочешь - переводи, снимай.

Сколько было историй, что бабушке прямо на кассе в банке говорят, вас обманывают не переводите деньги, но они не слушают.
UFO just landed and posted this here

Зато в Хоум Кредит на каждый чих надо топать в отделение лично. Хочешь доп. карту на жену или ребенка - топай в отделение, чтобы заказать, а потом ещё раз, чтобы получить. Не взял с собой свидетельство о рождении, приходи ещё разок. А доставку карты на дом можно? Не, не слышали....

с современными методами онлайн мошенничества и возможностями подделывать голоса, фото и видео - не так страшно звучит "сходить в банк"

п.с. но я бы хотел чтоб у меня была возможность банку сообщить: что никакие кредиты и продажи квартир я онлайн по смс делать не буду, а вот виртуальные карты - могу выпускать

бесит, что жена не может свою карту забрать, при том, что вписывались все её паспортные данные. работает рядом.

К сожалению, ситуация на конкурентном рынке банков такова, что банкам легче отнести потери на операционные риски, чем улучшать безопасность.
Это математически и регуляторно так установлено: пока потери не вышли за согласованный лимит прогнозируемых потерь - спим спокойно. А потери от мошенничества за этот лимит не обычно и выходят.

Тут еще важно "чьи потери". В большинстве случаев все-таки если человек сам переводит свои деньги на "безопасный счет в ЦБ" - это потери клиента, а не банка.

Тут важно отметить два существенных факта.

Во-первых, дело отправили на новое рассмотрение, то есть исход все еще неясен.

Во-вторых, то что кредитный договор признали ничтожным никак не избавляет от необходимости вернуть полученные по нему деньги ("Основным последствием недействительности сделок признается двусторонняя реституция - восстановление сторон в первоначальное положение: каждая из сторон обязана возвратить другой все полученное по сделке"), так что такое признание в лучшем случае избавит от части начисленных процентов (по ставке рефинансирования всё равно начислят) и черной метки в кредитной истории за невозврат (хотя в данной ситуации она может лучше бы и стояла).

Там надо смотреть, что именно признали ничтожным. Если жертва не подписала договор и не получила деньги, то и возвращать она ничего не должна.

Представьте, что банк принёс в суд подписанный вами договор, а в суде выяснилось, что подпись в договоре нарисована сотрудником банка. Договор признаётся ничтожным. Денег вы не должны.

Если жертва не подписала договор и не получила деньги

В статье достаточно однозначно сказано, что получила:

одобрил кредит на более чем 200 тыс. рублей под почти 19% годовых. После этого средства с кредитной карты были выведены

После этого средства с кредитной карты были выведены

То есть фактически она ничего не получила.

Если ножками взять кредит наличными в банке, а на выходе отдать все деньги мошенникам, означет "ничего не получить", то вы правы.

Она лишь отослала мошенникам код. Инициализировали кредит и перевели его мошенники.
Везде говорится про два кода. Первый на подтверждение кредита, второй на подтверждение перевода. Но мошенники должны были или авторизоваться в веб или мобильной версии банка. Т.е. ещё минимум одна смс.

Судя по их сайту - вход в кабинет не требуется, заявка заполняется на сайте. Нужны персональные данные жертвы, но это решаемая проблема. Заполнили на сайте заявку, подтвердили по СМС - деньги на счёте.

Она лишь отослала мошенникам код.

Это могло бы сгодиться, если бы линия защиты была выбрана по невменяемости или недееспособности, или если бы пользователь ИБ был бы несовершеннолетним.

В противном случае "я не осозновал последствий своих действий" работают не очень. Я лишь сделал закладку, а не распространял нарктики. Я лишь побил одноклассника, а не наносил ему тяжкие телесные. Я лишь катался, а не угонял машину. И так далее.

Закон подразумевает, что взрослый дееспособный совершеннолетний человек отвечает за свои действия. А не пытается разорвать причинно-следственную связь или снять с себя ответственность по типу "я лишь проехал на красный свет, а не сбивал человека".

Чтение и передача кому-то смс это вполне осознанное действие, не понимаешь всех его последствий - просто не выполняй его.

Но ведь если человек решил переходить улицу он ведь должен был понимать что кто-то может поехать на красный и его сбить. То есть сам виноват: это вполне осознанное действие, не понимаешь всех его последствий - просто не выполняй его.

если человек решил переходить улицу он ведь должен был понимать что кто-то может поехать на красный и его сбить

Отличный пример.
В данной ситуации светофор (включивший зеленый и давший разрешение на переход) это банк (приславший смс и давший разрешение на перевод).
За компенсацией ущерба нужно подавать заявление на водителя ехавшего на красный (мошенников), а не на светофор (который просто выполнял свои функции).

Нет. Банк в этом случае это государство, которое поставило светофор, сделало дорогу и придумало ПДД.

И кто по вашему виноват если светофор стоит криво и никому не понятно какой цвет горит? Или если на дороге разрешено ехать 150км/ч, а светофор переключается быстрее чем машина успевает затормозить? Если ПДД разрешают кому-то там ездить на красный? И так далее и тому подобное.

Справедливости ради, если светофор или знаки действительно установлены криво, не по ГОСТу, компенсацию с дорожников или инх служб стребовать можно.

Ну так и когда банки нарушают действующее законодательство, их дрючат. Но использование СМС для подтверждения платежа столь распространено не потому что "все нарушают", а потому что в настоящее время - это легитимный способ. Изменят законы - банки свои процедуры. Но сейчас так.

И возвращаясь к аналогии выше, предъявлять претензии следует таки "водителю, ехавшемуй на красный", а не светофору/дорожникам/ГИБДДшникам, делавшим свое дело "как положено". Наверняка они могут лучше. Например, поставить по гаишнику у каждого светофора.

Количество гоняльщиков на красный это уменьшит. Но это расходы, а закон этого не требует.

Ну так и когда банки нарушают действующее законодательство, их дрючат

Ну так и в данном случае суд решил что есть нарушения закона со стороны банка. И "вздрючил" его. Что вас тогда не устраивает в данной ситуации?

И возвращаясь к аналогии выше, предъявлять претензии следует таки "водителю, ехавшемуй на красный", а не светофору/дорожникам/ГИБДДшникам, делавшим свое дело "как положено".

Суд решил что банк не делал своё дело "как положено".

А мошенников если поймают, то тоже накажут. И банк уже может в свою очередь потребовать с них возмещение своего ущерба.

По ссылке из поста:

Во-первых, если ВС кого и вздрючил, то суд первой инстанции, а не банк.

Во-вторых, речь только от кредите. Похищенные деньги банк возмещать не обязали.

В-третьих, данный тред комментариев начался с объяснения, почему даже в случае признания сделки о взятии кредита недействительной, ситуация "откатывается назад". ПРоценты по кредиту можно будет не платить, но сумму его возвращать придется.

И меня как раз в этом все устраивает.

Если кредит недействительный и на счету до этого не было такой же суммы или больше, то тогда непонятно какие деньги были переведены. То есть как я понимаю ситуацию в данном случае на ущербе всё-таки останется сидеть сам банк. И это правильно.

То есть вот вам ещё аналогия: в банке работает уборщица и ей сказали что она не должна ничего открывать посторонним. Потом пришли какие-то люди, представились службой безопасности банка и попросили уборщицу открыть им кабинет. Она открыла. Потом выясняется что это были мошенники и у банка украли миллион. Кто теперь виноват и на ком висит ущерб? Ну то есть может теперь банк стребовать этот миллион с уборщицы? Или она хотя частично и виновата, но ущерб всё равно на банке?

Позволю себе процитировать юридический комментарий:

"Основным последствием недействительности сделок признается двусторонняя реституция - восстановление сторон в первоначальное положение: каждая из сторон обязана возвратить другой все полученное по сделке"

Ну да. Но скажем банк по договору имеет право переводить деньги со счёта таким образом чтобы счёт уходил в минус? Если нет, то тогда и этот перевод можно будет точно так же признать недействительным.

И да, это уже юридические тонкости и я не особо знаю как оно конкретно работает в России. Но меня не удивит исход дела в котором весь ущерб или хотя бы большая его часть повиснут на банке.

И опять же с моей точки зрения это было бы правильно. Иначе ничего и не изменится. А по хорошему надо.

Могу и вторую сделку отменить, которая перевод денег на другой счёт, раз дело до суда дошло. Причем ровно на тех же основаниях банк не уведомил ее на русском языке, что этот код - для передачи денег третьему лицу, тем более - кому именно. И, соответственно, параллельно с требованием вернуть деньги банку появляется требование для банка вернуть деньги на счет потерпевшей, которые он какого-то черта перевел на "неустановленный счёт".

Но ведь оно написано латиницей, и суд, видимо, посчитал это обстоятельство важным. Я вообще думаю, что суд посчитал, что сделка была совершена под влиянием существенного заблуждения (178 ГК РФ).

Вот только она никакой кредит не брала, никаких денег не получала и ничего никому не передавала. Она продиктовала два кода из SMS, всё. Если банк построил такую систему, что два кода, приходящие без пояснения русским языком, позволяют мошенникам получить сотни тысяч рублей - то банк сам себе злобный буратино, а жертва мошенничества должна быть освобождена от долга.

Это тоже вопрос терминологии. "Она утверждает, что не брала кредит" - для меня совсем не то же самое, что "не брала кредит".

Вот очень похожая ситуация:

  • вы договариваетесь с кем-то

  • он за вас оформляет заявку на кредит

  • вам (не кому-то!) приходит СМС кодом, который нужно ввести для подтверждения взятия кредита и никому не сообщать, если не просили его

  • вы этот код сообщаете "товарищу", и он вводит его вместо вас

  • Повторяете операцию (сообщаете код для перевода денег с вашего счета на чужой, но опять вводите его чужими руками)

  • Заявляете, что вы никакой кредит не брали (это же не вы сами коды вводили, вы просто их сообщали, а вводил их вместо вас кто-то другой!)

Чем эта последовательность принципиально отличается от обсуждаемого события, кроме первого пункта про "договариваетесь", о котором банк понятия не имеет, не может и не должен иметь?

Это вопрос нормальности системы, когда выдача кредита и перевод его на не принадлежащий человеку счёт может быть сделан кодами из СМС без объяснения на государственном языке, что эти коды значат.

Если человек не умеет читать транслит (что не есть обязательное умение, в отличие от умения читать русский язык), то он не может понять, что значат эти коды, и соответственно, передавая код, совершить осознанное действие "взять кредит" он не может. Уверен, кстати, что текст кредитного договора банк ей не прислал. В лучшем случае - ссылку на договор, а пояснение, что это за ссылка - транслитом.

А принципиальное отличие - в осознании "жертвой" своих действий, что должно установить следствие. Если вы знали, что это за коды - вы соучастник и должны поехать на нары. Если нет - вы жертва мошенничества.

Простая аналогия: обокрали квартиру. В одном случае вор вызвал мастера по вскрытию замков и показал ему паспорт с фальшивым штампом о прописке в этой квартире. Во втором - вступил с мастером в сговор, обещав поделить украденное.

выдача кредита и перевод его на не принадлежащий человеку счёт

А зачем еще брать кредит, как не для того, чтобы его обналичить или перевести на чужой счет?

Чтобы лежали? Или гонять между своими счетами?

Если вы знали, что это за код

Вы хотите сказать, что в данном случае "жертва" понятия не имела, что за коды ей приходят, никогда ранее их в банковское приложение не вводила и т.п.?

То, что сообщая этот конкретный код, она полагала, что "спасает" свои деньги (переводит на защищенный счет ЦБ или что-то подобное), а в реальности перевела злоумышленнику - ну так это и есть "стала жертвой мошенничества".

вы жертва мошенничества

Так кто все-таки жертва мошенничества? Банк или "клиент"?

В случае, если вашу квартиру обокрали, убытки вам ЖЭК покрывать должен?

Возможно мне станет понятнее ваша аргументация, если мы обсудим не перевод средств мошеннику из одного банка в другой, а передачу их наличными.

Пример:

  • У "жертвы мошенничества" открыт счет в банке Тинькофф

  • Поддавшись на уговоры мошенника жертва идет со злоумышленником в ближайший банкомат. Пусть это будет Райффайзен (тоже черно-желтый, легко запутаться)

  • "Жертва" передает мошеннику карточку и сообщает пин код от нее. К примеру, "чтобы благодетель защитил денежные средства".

  • Злоумышленник забирает деньги "чтобы положить на безопасный счет в ЦБ", возвращает карточку Жертве

  • Все довольные расходятся

  • Жертва очухивается и заявляет, что "вот этого всего не хотела".

Кто по вашему должен компенсировать потери жертве? Тинькофф или Райффайзен?

А зачем еще брать кредит, как не для того, чтобы его обналичить или перевести на чужой счет?

Чтобы оплатить что-то картой в магазине.

Вы хотите сказать, что в данном случае "жертва" понятия не имела, что за коды ей приходят, никогда ранее их в банковское приложение не вводила и т.п.?

Если она ранее не брала кредит таким образом - то да, могла не знать, что взять кредит можно через СМС-код. А через второй код - перевести на другой счёт, не указывая реквизиты. А банк не удосужился ей это в СМС пояснить русским языком.

Вот лично я, хоть пользуюсь картами больше 10 лет - никогда не брал кредит без подписания бумажного договора в банке и никогда не переводил деньги по чужому запросу, подтвердив перевод СМС-кодом.

Насчёт дальнейшего текста - давайте всё-таки разделять "я передал свои деньги, зная что они мои" и "я передал свои деньги, не зная что они мои" в сочетании с "я взял кредит не зная что беру кредит". Если рассмотреть кредит и передачу денег не как две независимые операции, а как одно мошенничество, то картина меняется.

Я бы вообще по умолчанию бы запретил в первые сутки снимать/переводить кредитные средства, кроме как на счета организаций(у них там своя защита). Кредит берётся не каждый день(а скорее даже месяц) и потерпеть сутки вполне себе можно.
Я если нет мочи терпеть, то можно или подтвердить желание офлайн(с подписью: я такой то такой то, находясь в здравом уме перевожу/снимаю деньги) или снятие значения по умолчанию при личном посещении банка. Но тогда ССЗБ.

Если рассмотреть кредит и передачу денег не как две независимые операции, а как одно мошенничество, то картина меняется.

Интересная мысль. Если просто отдать мошенникамим 200К своих денег - это мошенничество и "сам дурак". А если сперва добавить к ним 200К кредитных, и отдать 400, то "ситуация меняется". На всю сумму или только сумму кредита?

А здесь надо внимательно смотреть на ситуацию. Вы знали, что берёте кредит (и соответствено у вас появились дополнительные 200К), или не знали? Вы знали, что передаёте кредитные деньги мошенникам, или не знали? Вы знали, что передаёте свои деньги мошенникам, или не знали? Как именно переводились деньги - сразу все 400 или с разных карт по 200? И так далее.

Суд вправе не применять последствия недействительности сделки (пункт 2 настоящей статьи), если их применение будет противоречить основам правопорядка или нравственности.

У мошенников был доступ в ИБ?
Или они знали CVV код карты?
А то непонятно, как можно с карты перевести просто так деньги.

Чтобы получить доступ в ИБ достаточно знать номер карты и код из смс.

сервис дистанционного банковского обслуживания банка использует защищённые каналы, а клиент получает несколько СМС-сообщений

ШИТО? СМС — защищённый канал??? Пятнадцать раз ха-ха!

СМС — защищённый канал?

прямо так и открытый?

Для чего тогда пишут: "... позволяет «взламывать» ключи A5/1 \А5/3, используемые для шифрования вызовов GSM 2G и SMS".

Можно конечно использовать A5/0 (без шифрования), а как настроено у основных операторов?

Всё-таки "теоретически возможно" и "практически используется" это мягко говоря разные вещи.

И если защиту уже взломали на практике, то называть такой канал защищённым пожалуй уже не стоит.

В России по моему нет ни одно человека , которому бы хоть раз не позвонили разного рода мошенники . Сколько денег граждане им перевели уму не постижимо . И все это продолжается уже который год . Создается впечатление что в этих операциях есть шкурная заинтересованность неких лиц которые могут нажимать на некоторые педали в гос управлении. А иначе давно бы нашли и методы и средства и законы. При меньших денежных объемах люди "садятся" на денежные потоки . А тут деньги прямо рекой текут . И всем кому надо хорошо .Банкам хорошо , у них кредиты берут , да все рано кто . Главное берут . Органы правопорядка , при работе , но правда найти никого не могут в 99 из ста случаев . Ну если только обидят не того ( Какого то отставного генерала обдурили , - через два дня гаврики перед камерой сопли на кулак наматывали , извинялись . Тут сразу и все камеры просмотрели , и счета третьих лиц , обычно анонимные , вдруг стали не анонимными ). И пресса тут как тут , сразу новости в прайм тайме - вот никогда такого не было и опять.... Холеный корреспондент, с сочувственной миной на лице . А сам наверное посмеивается в душе , - "ну блин и лохи , каждый день одно и то же показываем , рассказываем и все равно находится ....." Теоретик экономист то же думает , - вот у людей сколько лишних денег мертвым грузом на счетах по банкам валяется . В общем всем хорошо , только кого обокрали плохо ....Вот всем и наплевать на эту ситуацию , по большому счету , народ -, сами барахтайтесь как можете .

А ведь всего лишь нужно, чтобы по умолчанию дистанционные услуги должны быть запрещены, а для тех кто понимает все риски и подтвердил ножками в отделении банка разрешить такие услуги или хотя бы через Госуслуги согласился на такие услуги.

Иначе получается, что из-за глупости некоторых людей, которые готовы ради безопасности переводить деньги на неизвестные счета и прочую дичь все остальные получают проблемы с дистанционными услугами.

Кстати, очень удобный механизм - всего лишь нужно в каждый банк сходить и написать заявление. Сколько там у нас банков в России?

Причем вероятно самые популярные у мошенников сервисы (всякие Быстроденьги, Займозавры и прочие Рубликоны) наверняка его не поддерживают

Для таких онлайн операций надо сделать временной буфер и одобрять её спустя сутки, если не последует отказа. Кто то скажет, что мне вот надо сейчас и вообще не смейте меня ограничивать. Ну так, если приспичило, то ничто не мешает метнуться кабанчиком в банк. Их сейчас больше чем любых других учреждений по городу.

С мощностями и возможностями СОРМ все эти телефонные мошенники вычисляются "на ура". СОРМ создан на деньги налогоплательщиков (огромные причем), но налогоплательщики настолько тупы (скорее запуганы), что не не требуют защиты себя же инструментами, созданными за свои деньги.

Вы ж не понимаете, это другое — СОРМ для защиты от тырырыстов, а не от мошенников!

Подавал в сбербанк запрос на отключение возможности выдавать кредит по смс, только по по личному приходу в банк. Путь только один - закрыть все счета и не пользоваться банковским обслуживанием. при том, что такая возможность всего лишь один элемент договора между банком и мной. с тех пор на счетах в сбере лежит 0... правда крединты лимит немал - что беспокоит... сейчас даже деньги в кошельке - это малость. остановят в подворотне и заставят кредит оформить с ножом у горла...

UFO just landed and posted this here

Вообще говоря, стоит отметить, что в таких случаях есть вероятность подбора кода из SMS. В некоторых случаях используется четырёхзначный код, там 10000 вариантов, то есть, вероятность взлома с первой попытки - 0.01% (если даётся три попытки, то вероятность взлома 0.03%). Вроде бы немного, и мошенник явно не может перебирать коды в большом количестве, его адрес заблокируют, но если разные люди с разных адресов пытаются взломать разные аккаунты на разных сайтах, то у них явно периодически будет получаться. Вот вроде бы стараешься, придумываешь и запоминаешь пароль из 20 символов, вводишь его каждый раз вручную, без менеджера паролей, думаешь, что аккаунт в безопасности, а в системе по сути дыра, снижающая количество вариантов для подбора, скажем, с 10^30 до 10^4. Понятно, что не все сайты используют четырёхзначный код, некоторые, допустим, используют два кода, один для входа, другой для подтверждения операции, если коды четырёхзначные, то вероятность взлома с одной попытки - 10^8, уже менее реально, плюс ограничения по IP-адресу, тут уже наверное как в лотерею крупную сумму выиграть, но ведь люди выигрывают, а тут по сути вероятность крупную сумму бесплатно проиграть. Стоило бы рассматривать уведомления с короткими кодами как ненадлежащее исполнение банком обязанностей по защите средств клиента, и, если клиент отрицает факт ввода кода (и нет надёжных доказательств обратного), считать, что операция со счётом не была одобрена.

Как человек, совсем недавно пользовавшийся услугой он лайн, в приложении, могу сказать, что одного смс недостаточно. Надо пройти целый квест в приложении, в котором ты авторизирован. А некоторые приложения банков, те вообще не дают авторизоваться на другом устройстве без знания кодового слова. Получение же кредита у сотрудника банка, так там вообще всё проходит через подптсь на планшете и так дале... Тут явно попахивает каким то более крупным мошенничеством, с более тонкими инструментами. Соглашусь с предыдущим комментарием на эту тему, коды из смс с пятью цифрами, явно недостаточно хороши в данном случае.

Other news