Дыра в безопасности яндекс инвестиций

    Сервисы яндекса уже есть наверное в каждом утюге. Этот отечественный ИТ-гигант сделал и продолжает делать многое для того, чтобы сложные ИТ технологии стали доступны любой домохозяйке. Однако в погоне за доступностью, программисты яндекса кажется иногда жертвуют безопасностью. В этой небольшой статье я решил описать, как чуть было не стал жертвой мошенников благодаря сервису Яндекс-Инвестиции.

    Первый звонок

    Несколько дней назад я скачал на свой телефон приложение "ВТБ инвестиции". Да, думал поиграться в акции на брокерском счете. Я не являлся клиентом банка ВТБ, но приложение все равно пообещало, что за 5 минут создаст для меня брокерский счет...

    Пройдя несколько простых шагов по заполнению всяких персональных данных, нажал на заветную кнопку чтобы создать счет и... приложение сказало, что-то вроде: "произошла ошибка, возможно вы уже являетесь клиентом банка".

    Я конечно искренне удивился, поскольку совершенно точно знал, что клиентом банка ВТБ никогда не был. Пытливый ум предложил мне попробовать стать настоящим клиентом ВТБ, чтобы попробовать открыть брокерский счет уже из нормального онлайн банка.

    Второй звонок

    Стать клиентом банка ВТБ оказалось довольно просто: зашел на их сайт, указал свои данные, через два дня курьер принес домой дебетовую карту. Подписали бумаги, курьер ушел, довольный, я скачал и зашел в приложение ВТБ-онлайн. Все замечательно, нахожу в приложении кнопку "создать брокерский счет", нажимаю и... вижу ошибку: "невозможно создать брокерский счет, у нас недостаточно данных, нужно прийти в офис с паспортом".

    Вот тебе и раз думаю (хотя это уже было два). Какой смысл было ждать моментальную карту два дня с курьером, если все равно топать ногами в офис??? Ну и сервис подумал, но любопытство победило, собрался и пришел таки в офис.

    Третий звонок

    В офисе ВТБ мне вежливо, но довольно туманно сказали, что ситуация со мной немного необычная, в их программе просто произошел сбой с моими данными о месте рождения, сейчас все быстро поправят и будет ок.

    Сотрудница банка что-то очень быстро поправила и действительно: прежняя ошибка пропала, приложение в офис меня больше не отправляло, прислало мне СМС для подтверждения и... выдало новую ошибку, что-то вроде: "сбой при подключении к внешним данным".

    Хорошо, что я не успел далеко отойти от офиса банка, вернулся.

    Четвертый звонок

    С новой ошибкой приложения, старая сотрудница разобраться уже не смогла, а позвала помощника - молодого паренька. Вместе с молодым человеком мы минут тридцать то очищали кэш приложения, то перезагружали телефон, то делали еще какие-то малопонятные мне манипуляции с QR кодами. Приложение никак не сдавалось, в итоге мне было сказано: "попробуйте через час, если не получится, то приходите опять сюда".

    Начинаю что-то подозревать

    Примерно через час случилось нечто странное: я зашел в ВТБ-онлайн, а там в разделе "Инвестиции" уже открыты брокерские счета. Вау, подумал я! Ну и сервис! Наверное паренек из офиса что-то там все таки подкрутил и мне теперь даже не надо открывать счета - они открылись сами!

    Ну что же, счета открыты, пробую зайти в приложение с которого все началось: ВТБ инвестиции. Ввожу туда логин.., стойте, а пароль какой? Пробую от интернет-банка - нет. Пробую восстановить пароль одним способом - нет, другим - опять какие-то ошибки... Захожу в интернет банк через браузер, а там вся информация о брокерском счете как на ладони: "дата создания 13.01.2021".

    Как интересно подумал я: как это брокерский счет был открыт на четыре месяца раньше, чем я стал клиентом банка???

    Служба поддержки банка. Первая серия

    Ну ладно, очередной глюк подумал я с этой датой. Хочется уже войти в приложение ВТБ-Инвестиции, звоню в техподдержку по номеру который дает приложение после неудачного восстановления пароля.

    Поддержка берет трубку быстро, я говорю - восстановите пароль, меня отправляют сначала восстанавливать через сайт, потом через приложение ровно так как я уже только что делал... Ну как обычно в любой техподдержке в общем. Когда ничего не помогло и девушка на другом проводе немного приуныла, я ради смеха рассказал про дату открытия счета, а она радостно подхватила: "а давайте я посмотрю как это произошло". Давайте сказал я.

    Ну и при чем тут Яндекс?

    Через полминуты ожидания девушка из техподдержки ВТБ сказала то, что я ну вообще никак не ожидал услышать: "Вы действительно открыли этот счет 13.01.2021 через Яндекс. Можете поинтересоваться у яндекса о подробностях".

    Вот это поворот! Я даже на минутку забыл о том, зачем звонил - про пароль от ВТБ-инвестиций. Потом все-таки подумал: ну старый я уже, начало января, может забыл и правда что-то там в яндексе делал? Ладно говорю, пусть так, пароль мне дайте уже от вашего приложения. Девушка перенаправила звонок к другому специалисту...

    Служба поддержки банка. Вторая серия

    Второй специалист техподдержки ВТБ трубку не брал заметно дольше, но я сдаваться не собирался. Когда трубку взяли, конечно пришлось объяснять ситуацию с нуля - обычное дело при звонках в техподдержку...

    Специалист на проводе оказался грамотным парнем и сразу перешел к делу: вам знаком номер с последними цифрами 6593? Разумеется у меня есть вторая симка номер которой я не знаю и использую только когда где-то балуюсь. Ну, говорю, наверное это мой второй номер. Парень сказал: надо обязательно с этого номера к нам позвонить, тогда пароль поменяем. Ок, говорю. Кладу трубку.

    Вот так номер!

    Перед тем как звонить в банк со своей второй симки, решил посмотреть все таки сначала ее номер и... номерок-то не тот! WTF?! Начал рыться в контактах - ни у кого нет такого номера!

    Паники конечно никакой нет, потому что на всех счетах по нулям. Но ощущение какого-то сюрреализма: получается, что какой-то хмырь через какой-то яндекс умудрился открыть счет на мое имя в банке, клиентом которого я даже не являлся?!

    Где счет открывали, туда и идите

    Открываю гугл, ищу "яндекс брокер", нахожу рекламу каких-то яндекс-инвестиций о которых в первый раз слышу. Захожу туда, там действительно предлагают открыть брокерский счет и действительно они партнеры ВТБ. Ситуация начинает для меня вырисовываться все отчетливей, но чтобы подтвердить подозрения связываюсь в чате с поддержкой яндекса, задаю закономерный вопрос: "кто и как мог открыть на мое имя брокерский счет который при этом никак не связан с моим верифицированным яндекс-аккаунтом и номером телефона"? Получаю ответ: "кто-то воспользовался вашими паспортными данными и открыл этот счет. Закрыть вы его можете только походом ногами в банк".

    Ну вот как-то так

    Получается, что любой человек с улицы может через яндекс открыть брокерский счет в ВТБ на имя любого другого человека с улицы, для этого нужны только паспортные данные. Сам паспорт не нужен. Быть клиентом ВТБ тоже не нужно. Десятифакторные яндекс-авторизации и аккаунт-верификации, никакой роли не играют.

    Что дальше? Могу лишь догадываться: наверное, если бы я подумал что брокерский счет открыл для меня банк, попробовал бы этот счет пополнить, то мошенник получил бы уведомление о пополнении и вывел бы все со счета на свой аккаунт.

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 7 283 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 19

      +2

      Яндекс делал акцию давал бонусу яндекс плюс за открытие брокерского счета. Ну а умельцы на форумах ботами создавали тысячи таких аккаунтов и продавали на форумах и в телеге эти бонусы яндекса за пол цены)
      Ну и подумайте если такое произошло, то где то ваш паспорт утек

        0
        То что паспорт утек это понятно. Сейчас такие времена — паспорт крайне сложно в тайне десятки лет хранить. Но я не переживаю, через полгода буду менять его по возрасту ))
          0

          А нельзя все деньги с этого брокерского счета себе забрать? Ведь он ваш?

            +1

            Я думаю автору достанутся только налоги с брокерского счета.

              0
              Хорошо еще, если только налоги, без пары интересных статей в довесок. Но вангую, что по счетам не было движения, иначе можно было бы та-а-акой интересный шухер на явтб навести — открытие банковских счетов без идентификации клиента, проведение платежей без того же самого… ууу…
            0
            То что паспорт утек это понятно.

            Благодарим за пользование новым сервисом Яндекса — «Проверка на компрометацию паспортных данных» :)

            Сейчас такие времена — паспорт крайне сложно в тайне десятки лет хранить.

            Для параноиков типа меня, выход только один — менять паспорт раз в год? Есть такое основание для смены — «необоснованное подозрение о компрометации паспортных данных»?
            0

            А каким образом бонусы передавались?

              0

              Просто продавался аккаунт а там или кино или бензин покупали

            0

            Как в анекдоте: "Ну, хоть что-то у нас в безопасности"

              –4
              Здравствуйте, я из Яндекса. Очень жаль, что произошла такая неприятная ситуация. Постараюсь объяснить, почему мошенники никак не смогли бы получить доступ к вашим деньгам.

              Ваши паспортные данные попали в руки мошенников, после чего они создали брокерский счёт через Яндекс.Инвестиции. Текущее законодательство позволяет открыть его полностью удалённо.

              Но вывести деньги с него мошенник бы не смог: вывод денег возможен только на банковский счёт и только при условии полного совпадения реквизитов с вашими паспортными данными. Поэтому доступ к вашим деньгам получить было невозможно.

              Со своей стороны сделаем доработки в Яндекс.Инвестициях, чтобы подобные ситуации больше не возникли вновь.
                0
                Но зато можно купить с этого счета сверхдоходные никому не нужные акции? Норм схема. Успешные ребята регают конторку с нулевой обороткой, выпускают акции, и они вдруг успешно «торгуются» на бирже вот с таких счетов.
                Если инфа статьи не опровергается, то схема ваша точно очень мутная.
                  0

                  Конечно, так просто фирме-однодневке выйти на биржу

                    0
                    Я не эксперт, но на сколько знаю, бирж не две и не три, и есть рынок «второсортных акций». К тому же, можно сыграть и со сторонними акциями. Теоритически, если у злоумышленников скопилось на таких счетах много денег, которые они не могут вот так вывести, но могут ими играть на бирже, они могут выбрать какую-то компанию, чьи акции с большой долей вероятности поднимутся, если в короткий период времени будет куплено много акций. Они покупают за свои такие акции (чтобы потом продать на подъеме), а чужие деньги вливают, чтобы обеспечить этот подъем. Плюс с кредитным плечом 1:100 вообще хорошо может получиться.

                    В общем, если мошенники заморочились и открыли эти счета, значит там есть что им ловить. Просто мы еще не знаем об этом.
                      0
                      В России — две. На зарубежные через Яндекс не попасть.

                      Да, в подобных схемах обычно используются уже существующие низколиквидные акции. Плечо на такие акции не дают, но даже без плеча, pump-and-dump схемы на них работают. Время от времени такие явления можно наблюдать на российском рынке.

                      Тем не менее, сомнительна работоспособность схемы с мошенническими брокерскими счетами. Во-первых, на них надо внести деньги от лица владельца счета, а это уже не так просто.

                      Во-вторых, биржа борется с манипулированием, там работает всякое аналитическое ПО, и покупка одной акции с множества недавно открытых счетов (еще и от одного брокера) будет сразу видна. Торги остановят, будут выяснять.

                      Объяснение из первого комментария похоже на правду:
                      Яндекс делал акцию давал бонусу яндекс плюс за открытие брокерского счета. Ну а умельцы на форумах ботами создавали тысячи таких аккаунтов и продавали на форумах и в телеге эти бонусы яндекса за пол цены)


                      Если так, то никто особо не заморачивался, а просто сделали бота и прогнали его по какой-то базе украденных паспортных данных. Скорее всего, со счетом, открытым по такой процедуре, кроме получения «бонусов» реально больше ничего не получится сделать.
                        0
                        Спасибо за разъяснения!
                +1
                Очень жаль, что произошла такая неприятная ситуация.

                Интересно, зачем сотрудникам поддержки продолжают выдавать подобные скрипты (или они сами их пишут)? Я еще могу понять, когда в живом диалоге сотрудник выражает эмоции, это можно сделать вполне человечно. Но в текстовом формате это обычно только раздражает, особенно если вопрос не решается по существу.
                  –2

                  Добрый день. Многие брокеры позволяют клиентам открывать счета в дистанционных каналах, используя предоставленную законом возможность проведения удаленной идентификации. При этом в ВТБ настроены системы фрод-мониторинга, которые позволяют исключить возможность хищения денежных средств с брокерских счетов клиентов даже в ситуациях, когда такой брокерский счет был открыт мошенниками на основании украденных персональных данных. Все операции вывода денежных средств допустимы только на расчетные счета самого клиента, что помогает исключить мошенничество с использованием брокерских счетов.

                    0
                    Добрый день. У вас реклама закрывает весь ЛК
                    image
                    +1
                    Ребят, привет! Но все же деньги не в Яндексе, а в банке, давайте ВТБ спросим, они точно никаких схем фрода на этом кейсе не видят?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое