МТС-банк проверяет сообщения клиентов о фактах доступа к их счетам со стороны злоумышленников

    Скриншот переписки клиента представителем банка. Источник: форум banki.ru.

    Клиенты МТС-банка сообщили в СМИ о том, что с конца марта по начало июня 2020 года с их счетов происходили списания средств, причем это делалось без ведома владельцев счетов.

    Оказалось, что все хищения происходили по одной схеме: мошенники блокировали мобильный номер клиента МТС-банка (сотовым оператором большинства пострадавших является МТС, также есть случаи блокировки номеров клиентов «МегаФона», «Билайна» и Tele2). Далее злоумышленники меняли в банке номер телефона на свой, получали доступ к счету и онлайн-банкингу и переводили деньги на другие счета. Большинство пострадавших клиентов пользовались услугами мобильного оператора МТС. В издании РБК сообщили, что к ним обратились одиннадцать пострадавших, с их слов, у них было похищено более 1,8 млн руб. Однако, на форуме banki.ru обращений и жалоб с такой проблемой значительно больше.

    Пояснение клиента банка, который попытался сам разобраться в ситуации.
    «Просматривая свои истории в личных кабинетах МТС и МТС-банка, я узнал, что услуга «Добровольная блокировка номера» мне была подключена 4.06.2020 в 22:55. А все мошеннические транзакции были проведены 5.06.2020 с 02:20 по 02:50».
    В настоящее время МТС-банк начал внутреннюю проверку по этой ситуации, но информацию о списании со счетов клиентов денег не подтвердил. В Банке России также в курсе жалоб клиентов и разбираются в ситуации. Вдобавок проблемой клиентов банка заинтересовались в Роспотребнадзоре, там сейчас тоже проводят проверку по факту обращения клиентов.

    Вот только одна из жалоб клиента банка.
    «27 мая 2020 года украли с карты МТСкешбэк более 71000 рублей. Заблокировали мой номер тел., отвязали его от карты и привязали другой номер… Позвонил в МТС банк по № 88002500520, меня спросили не меняли ли вы № тел. привязанный к карте — ответил НЕТ! На след. день написал в офисе банка о не согласии с операциями (сам картой даже не успел воспользоваться ни разу). Так же написал заявление в полицию… С такой ситуацией сталкиваюсь впервые. В других банках являюсь клиентом много лет и всё нормально. А в МТС банке через 24 дня как стал клиентом обокрали.»
    Оказалось, что большинство пострадавших счетов было привязано к кредитным картам, также клиенты жаловались на случаи списания с их дебетовых карт и накопительных счетов.

    Один из пострадавших клиентов МТС-банка уже получил ответ от кредитной организации, в котором банк отказалался возвращать выведенные мошенниками деньги, так как все операции были подтверждены одноразовым кодом. А использовал этот код мошенник или клиент, в данном случае не играет роли.

    Специалисты по информационной безопасности пояснили, что в подобных схемах злоумышленники сначала звонят в call-центр оператора связи и попросят временно заблокировать номер клиента. Такая возможность есть у любого оператора, например на случай кражи телефона. Для этой процедуры им нужно знать только паспортные данные жертвы. Затем мошенник, используя эти же паспортные данные клиента, звонит в call-центр банка и попросит привязать другой номер телефона вместо прежнего. А далее он получает полный доступ к одноразовым СМС-паролям, которые приходят на новый привязанный номер телефона для подтверждения операций со счетом.

    Основатель и технический директор компании DeviceLock Ашот Оганесян пояснил, что паспортные данные и кодовые слова клиентов можно найти, например, в продаваемых базах данных в даркнете или с помощью «пробива» у оператора связи или сотрудников банков. Причем там может быть актуальная информация, включая ФИО клиентов, их контактные телефоны и даже данные по текущим остаткам на их счетах.

    Ранее в конце мая 2020 многие клиенты МТС-банка жаловались на принудительную смену паролей банком для входа в мобильное приложение. Фактически, банком была проведена массовая рассылка по СМС новых паролей, при этом часть пользователей не смогли зайти по ним в свой личный кабинет. Тогда в банке пояснили, что проводятся плановые мероприятия по повышению безопасности онлайн-сервисов. А почему пароли высылались в открытом виде и в них были только цифры, в банке не уточнили.

    После появления этой новости от МТС-банка пришёл официальный комментарий:

    МТС Банк провел дополнительную проверку IT-систем банка. Утечек не обнаружено. Все данные и средства клиентов МТС Банка надежно защищены.

    Информация в СМИ и соцсетях о 30 пострадавших не соответствует действительности. В чат во «ВКонтакте», о котором говорится в сообщениях, вступили также сотрудники претензионной работы МТС Банка, чтобы быть на связи с клиентами, и другие заинтересованные лица, не являющиеся пострадавшими — итого в данной группе состоит порядка 30 пользователей.

    В МТС Банк обратилось 12 человек из 2,5 млн клиентов. Это единичные случаи. На данный момент по каждому из них проводится дополнительная проверка обоснования списания средств, которая пока не закончена.

    В случае выявления факта мошеннических действия со средствами клиента, МТС Банк возмещает денежные средства, если устанавливает, что списание произошло без участия клиента, — то есть клиент сам не называл мошенникам пин-код, телефонные коды, логины, пароли и другие персональные данные.

    МТС Банк призывает клиентов финансовых учреждений внимательно относиться к персональным данным и ни при каких обстоятельствах не сообщать их третьим лицам. В прошлом году по данным ФинЦЕРТ Банка России семь из десяти хищений денежных средств со счетов клиентов российских банков осуществлялись в случаях, когда клиенты сами сообщали мошенникам необходимую информацию, которая открывала злоумышленникам доступ к счетам. В последнее время, на фоне периода самоизоляции, случаи мошеннических действий по отношению к клиентам российских банков участились.



    См. также:
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 38

      +2
      Жаль что люди теряют деньги, но определенный плюс в том что опсосы становятся банками определенно есть: наконец-то эти шараги со скамом взгреет более серьезная организация, например ЦБ, который научит их настоящему инфобезу, а не то что у них там сейчас.
      Правда для этого жалобы в ЦБ надо писать, а не на форумы в интернете.
        +1

        А в ЦБ какой-то не типичный для нашего банковского сектора инфобез?

          0
          Никакой магии в инфобезе ЦБ нет, кроме того что они его контролируют и за его отсутствие карают. Кто контролирует операторов связи? — какие-то смешные структуры, с которыми можно «порешать» (отчего у операторов творится всякая полузаконная дичь с непонятными списаниями и вмешательством в трафик, запрещенным законом «о связи»), но попробуйте «порешать» с ЦБ…
          0

          Как-то общался с безопасниками одного банка-оператора, принёс им информацию о том, как можно вытаскивать данные и деньги клиентов. Прошло более полугода, проблемы остались: у них то Новый Год, много дел, то Ковид, ещё больше дел.

            0
            Да нет в этом ничего хорошего.
            Во-первых каждый должен заниматься своим делом. Банкиры — банком, ОпСоСы — связью. Иначе и то и другое будет через жопу. Что мы собственно и имеем.
            Во-вторых МТС-Оператор и МТС-Банк это наверняка разные юрлица имеющие из общего только часть названия и, возможно, учредителей. Поэтому даже если ЦБ за что-то там возьмётся, то это будет касаться банка, а оператора это коснётся скорее всего чуть более чем никак.
              0
              Если они пересекаются (а они наверняка сильно пересекаются и часть людей из оператора имеют должности и в банке) то все эти рабочие места и люди попадают под регуляцию ЦБ.
                0
                Фактически скорее всего да — пересекаются, тут Вы правы. Но формально — нет. Поэтому какой результат будет «на выходе» предсказать трудно. Будем надеяться на лучшее, но готовиться к худшему.
                Но в любом случае в каком-нибудь МТС-Банке, Билайн-Банке, Мегафон-Банке и т.д. лично я бы свои сбережения держать не стал. Такие банки могут быть удобны и иметь интересные плюшки для повседневной деятельности. И там можно держать немного денег постоянно докидывая. Но основные сбережения лучше держать в каких-то менее [ругательным тоном] инновационных банках, где операции подтверждаются не через SMS, а карточкой с одноразовыми паролями например. Лично моё мнение.
                  0
                  такие ещё остались, где не по смс?
                    0
                    Да, я таким пользуюсь. SMS там тоже есть, но при желании можно и без них. Плохо когда безальтернативно. Скажем в том же Сбере раньше были и одноразовые пароли (реализовано конечно было через задницу, но не суть), и SMS. Потом возможность работать по одноразовым паролям просто убрали.
                    Правда это всё не поможет если система устроена так, что идиот в коллцентре по телефонному звонку может поменять привязанный номер, а так же подключить подтверждение по SMS если оно даже выключено. Но это просто уже клиника.
                      0
                      А какой у вас банк?
                        0
                        ПСБ. Но я думаю и в других должно быть. Не один же он остался такой.
            0
            В прошлом году у знакомой так же «по собственной воле» подключили услугу «Везде как дома» когда улетела в Турцию, и все 3 недели списывали по 100 с чем то рублей в сутки. Вот только связь МТС пропала сразу после вылета, и попытки реанимировать ее ни к чему не привели, благо работала связь от другого оператора. По прилету, о чудо, связь сама включилась. Все попытки разобраться в ситуации не увенчались успехом. С тех пор на счету МТС не более нескольких десятков рублей. А уж в их банк нести — боже упаси.
              0
              Вот только связь МТС пропала сразу после вылета

              +1, все тоже самое когда я ездил в Польшу, связь пропала прямо на границе… вообще «нет сети»

              Когда вернулся в поддержке ничего внятного ответить не смогли (не в смысле — у вас там чтото не хватало, да вы не туда галочку не поставили… а буквально дословно «да, и действительно связи у вас не было, не знаю почему, давайте оставим звявку»), ушел от них к другим
                +1

                А у вас роуминг был включён? Ручная регистрация в чужой сети работала?

                  0
                  Включен был, ручная регистрация не работала

                  и куда уж роуминг, я же через Беларусь ехал, там всё работало отлично, до Польской границы
                0
                Ну «добровольное» подключение каких либо услуг, сотовым оператором это у нас в порядке вещей.
                +2
                Это хорошо демонстрирует, насколько отсталая и беззубая эта система банковских карт. Она никого ни от чего не защищает.
                1) Во-первых, банк сам решает, кому доверять списание ваших денег без любых подтверждений: где-то это может быть ограничено 1,5к, но у меня бывало, что и 3к уходили без единого подтверждения по смс. Т.е. вдумайтесь — банк решает, кому доверять списание ваших денег без подтверждения, не вы!
                2) Во-вторых, в случае кражи денег банк их должен возместить из своих денег и поэтому банк начинает подыгрывать на стороне мошенников, а не своего клиента. Мол «у вас есть справка, что вы не верблюд? нет? ну тогда деньги не вернем».
                3) Слияние банка и оператора — это вообще адская смесь, т.к. обнуляет любой смысл двухфакторной авторизации. Ведь любой сотрудник такой компании может одновременно и иницировать платеж, и перехватывать любые подтверждающие смс (причем даже не доставляя их клиенту).

                Думаю, мир должен прийти к обязательной подписи транзакции ключом клиента. Когда деньги не могут никуда сдвинуться без этой подписи, а любое движение без нее — автоматически признается мошенничеством с участием банка. Ключи, что вполне логично, должна выдавать другая независимая организация.
                  0
                  Все уже давно придумано — это чековая книжка.
                    0
                    Насколько я знаю, физически деньги на счету банка могут лежать до 30-ти дней. То есть, совершая перевод банк-отправитель сообщает банку-получателю «Деньги на счету имеются, их заблокировали для вас». А тот пополняет карту клиента, т.к. имеет подтверждение. Как раз на случай мошенничества.

                    Поправьте, если не прав.
                      0
                      это не на случай мошенничества, а потому что реальная банковская транзакция проходит примерно 3 дня плюс в некоторых случаях деньги резервируются как депозит и списываются по мере их подтверждения (например на заправке, зарезервировали 5000тыс, на все не влезло, списали 3 тыс, остальное разблокировали… но тут быстро — но если подумать можно найти сферы где дольше, например аренда авто), для всех этих операций выделен отрезок времени в 30 дней
                      По факту деньги могут списать (физически) прямо сразу, если вы оплатите до окончания банковского дня и между этими банками отдельный договор по ускоренным взаиморасчетам.
                        +1
                        Спасибо за разъяснение. Сперва, хотелось бы задать вопрос, почему не делают 30 дней для переводов между физиками?
                        Но сам же и понимаю ответ. В этом случае, вся ответственность за взыскание средств ложится на банк получатель (который, не причем, т.к. пришел приход, который он обязан положить на счет), а не отправителя (допустившего эту лажу).
                          0
                          потому что тот кому перевели будет ждать 30 дней, ведь ему их не выдадут пока деньги окончательно не придут.
                            0
                            Не так, тут банк получатель выдает деньги клиенту, не дожидаясь того, что банк отправитель фактически переведет ему деньги, а лишь опираясь на его обязательства перевести деньги в течении скольких-то дней, если не будет проблем. Типа гарантийного письма среди юрлиц.
                      0
                      когда любую операцию ты можешь оспорить, чтобы продавец потом доказывал банку что не мошенник — вполне прогресивная и защищенная система.
                      другое дело когда обман клиентов банка не касается, пишите в роскомнадзор — тогда придется придумывать некие революционные системы, которые все равно не будут работать.
                        0
                        вполне прогресивная и защищенная система.

                        она только в США так работает, в РФ банк по умолчанию не доверяет держателю карты и вымотает вас до последнего, учитывая срок рассмотрения претензии 3-6 месяцев
                        +4
                        Ну вообще то в нормальном банке такая ситуация в принципе не возможна.
                        Во первых при смене номера блокируются операции со счётом на сутки, банковские смс и т.д.
                        Во вторых нельзя удалённо привязать новый номер взамен заблокированного, только ножками в офис и с паспортом.
                        А именно это и было возможно(судя по публикации) в этом банке.
                        Отправка новых паролей клиентам ещё и в открытом виде, это вообще лютая дичь.
                        P.S. Судя по ветке на banki.ru ситуация напоминает пожар в борделе во время наводнения.
                          0
                          Согласен. Попытка разделить банки на нормальные и нет приводит нас к необходимости периодического независимого аудита банковской безопасности с открытыми для всех результатами. Тогда хоть станет понятно, чему конкретно мы доверяем свои деньги.
                            0
                            наличие бумажки о пройденном аудите, на самом деле вам не поможет. Я учавствовал в таких аудитах (как сотрудник организации — которую проверяли)… и могу сказать что это лишь фактор что «ну мы чёт попытались улучшить, чтобы стать compliance» по факту это подбивание систем под чеклист, и если сотрудникам плевать то это и будет лишь подбиванием чеклиста
                              +1
                              Не вижу пока, чем плохо подбивание систем под чеклист? Другое дело, что чеклист должен быть грамотный. А из вашего описания, мне кажется, что аудитор это делает для «вида». Условно это является сговором компании и аудитора. В нормальном рынке такой аудитор расплатится своей репутацией и довольно быстро перестанет восприниматься как знак качества.
                                0
                                Что мешает на период проверки привести всё под чеклист, а после неё обратно? Для проверяемого главное остаться с лицензией.
                                  0
                                  Если говорить о технических средствах — то ничего, если об организационных процессах — то это довольно сложно. Это прям сотрудникам нужно отдельные инструкции и должностные полномочия раздавать на время аудита. А им быстро перестроиться с обычного процесса.

                                  Но в любом случае, хоть такая проверка лучше, чем сейчас — сейчас мы понятия не имеем, насколько все там плохо.
                                  +1
                                  Не вижу пока, чем плохо подбивание систем под чеклист?

                                  одно дело когда система подбита под чеклист и совершенно другое когда она работает так чтобы ему соответствовать
                                  А из вашего описания, мне кажется, что аудитор это делает для «вида»

                                  аудитор делает по регламенту и чеклисту. а вот «для вида» — делают уже те кому этот аудит проводят.

                                  В нормальном рынке такой аудитор расплатится своей репутацией

                                  почемуже, он проводит аудит на соответствие, скоуп софта-железа-отделов аудитору предоставлены, он проверил что чеклисту все соответствует — выдал разрешение на лицензию… если чтото произойдет то аудитор то причем? он проверял соответствие того что ему показали и оно реально на момент показа соответствовало

                                  А вот те кто этот скоуп составляет… и любыми правдами и неправдами выкидывает оттуда неудобные машины, софтины, бизнеспроцессы, помечая их как «не важные» и «не входящие» несмотря на то что по факту они учавствуют (например их могут на недельку отключить пока аудит проходит)

                                  Мы в одной из контор (вообще я примерно 5 таких аудитов переживал… и pcidss и sox и еще отдельный чисто по it-безопасности в разных фирмах)… решили упороться и по максималкам впилить безопасность, это очень нетривиально, сложно и больно для бизнеспроцессов и сотрудников… и даже по прошествии нескольких лет, при каждой итерации с аудиторами, приходилось постоянно подбивать бумажки и процессы чтобы нас не запалили.

                                  тем не менее по сравнению с обычными бизнесами, те конторы которые такой аудит проводят и их сотрудники, хотябы знают про ИБ… уже плюс, потому что даже тут на хабре полно народа, адептов админских прав на рабочем компьютере и свидетелей отключения апдейтов… про какую безопасность тут вообще речь. нам на одном аудите очень наглядно продемонстрировали как ломануть всю сеть если на одном компе уборщика не стоит апдейт вышедший неделю назад
                                    +1
                                    Я системный администратор, более-менее нормальный. В 2016-2018 году подрабатывал на полставки в детском приюте (ЯНАО). Но как гром пришло сверху указание, что ВСЕ наши данные являются не персональными данными, а гостайной. Вот я тогда офигел.
                                      0
                                      А кто эти люди «составляющие скоуп»? Если это сотрудники внутри компании — то их там быть, конечно, не должно. Это прям пространство для мошенничества с проверкой. Сотрудники аудитора — вроде да, должны, но этот скоуп и должен быть грамотным, в этом и смысл репутации аудитора.
                                        0
                                        конечно это сотрудники внутри компании, зачастую это сотрудники ИБ вместе с начальниками ИТ отделов. Потому что все компании разные внутри, все ИТ системы разные. Я вот слабо себе представляю как сторонний человек сможет быстро проанализировать ИТ подсистему компании на 1000+пользователей и десятки тысяч серверов и грамотно определить какие сервисы входят в зону проверки, а какие нет… при этом не нарушая собственные правила которые они и проверяют.
                                        Это вообще очень сложная и комплексная задача, к которой у меня очень много вопросов… чувствую я могу затроллить любого ИБшника и аудитора… на мой взгляд и ощущения, я ещё ни разу не видел среди них людей действительно профессиональных.
                            0
                            Так, стоп! Что значит «Далее злоумышленники меняли в банке номер телефона на свой, получали доступ к счету и онлайн-банкингу»? Во всех банках которыми я пользуюсь нужно сначала войти по логину/паролю, а уж потом только в дело вступают SMS. Ну допустим у некоторых логином может являться (или приравниваться) номер телефона. Но пароль-то откуда мошенники брали? Или в МТС настолько всё плохо, что в банкинг можно попасть чисто по SMS, без знания пароля?!
                            Ну и вообще конечно лучше не держать много денег в банке где в качестве подтверждения транзакций нельзя использовать что-то более надёжное чем SMS'ки (карточку с одноразовыми паролями например).
                              0
                              Судя по комментариям и публикации, мтс сам придумывает и рассылает пароли в открытом виде клиентам. В общем всё настолько плохо, что снизу уже не постучат.
                                0
                                Ну что ж… Зато «удобно и без лишнего геморроя». Так же юзеры всегда говорят.

                            Only users with full accounts can post comments. Log in, please.