Росіяни часто не довіряють банківським каналам дистанційного обслуговування, вважаючи їх небезпечними. Однак в більшості випадків клієнти самі допомагають себе обкрадати, повідомляючи зловмисникам, наприклад, дані своїх карт.

У клієнта Альфа-банку Ніни Фарізовой шахраї вкрали з кредитної картки кілька десятків тисяч рублів. Банк відмовився їх повертати, мотивуючи тим, що постраждала сама розкрила зловмисникам все «явки і паролі». Клієнт, частково визнаючи свою провину, проте, запевняє, що найголовніший пароль - SMS-код підтвердження транзакції вона не повідомляла, нікуди не вводила і обіцяє судитися.

Оскільки дочка Ніни Фарізовой - відомий журналіст, то це історія набула розголосу в соціальних мережах і навіть в федеральних ЗМІ . Порівняй вивчив кілька можливих варіантів події.

Версія клієнта: «Не винувата я»

Ніні Фарізовой надійшло SMS-повідомлення нібито від Альфа-банку з проханням передзвонити на зазначений в повідомленні номер, що вона і зробила, а під час розмови повідомила номер своєї карти і тризначний верифікаційний код (CVV2).

У момент телефонної розмови жертві надійшло інше SMS з разовим паролем для підтвердження операції, але, за словами Ніни Фарізовой, вона його навіть не помітила і, тим більше, нікому не називала і ніде не вводила.

Після спілкування з «співробітником банку», клієнтці подзвонив вже справжній співробітник (що пізніше підтвердили офіційні представники кредитної організації) і попередив про підозрілу операцію - переказ коштів з її карти на іншу карту через послугу «Онлайн-переклад з карти на карту» на сайті Альфа -Банк. Жінка розповіла про попередньому дзвінку і попросила заблокувати карту, але гроші були вже списані. В цей же день вона написала в банк претензію на повернення вкрадених коштів, на наступний день - звернулася в поліцію.

Версія банку: «Сама винна»

Розглянувши заяву клієнта, банк відмовився повертати гроші. Потерпіла налаштована судитися. Суть її претензій: система переказу грошей на сайті кредитної організації абсолютно не захищає клієнта. Банк, визнаючи операцію «підозрілою», не блокує тут же карту, що могло б запобігти крадіжці коштів. Таким чином, на її думку, шахрайство стало можливим в результаті слабкої роботи служби безпеки банку.

Але в банку звинувачення в незахищеності сервісу заперечують. «Списання коштів з карти без введення SMS-пароля неможливо. Внутрішнє розслідування підтвердило, що переклад був здійснений після SMS-підтвердження, відправленого на номер телефону Ніни. З'ясування, як цей код потрапив в руки шахраїв - уже справа поліції », - коментує ситуацію Жанна Каплун, прес-секретар Альфа-банку. За словами представників кредитної організації, після проведення операції, яка була визначена як підозріла, з клієнтом зв'язався співробітник банку, і мапа була оперативно заблокована. Завдяки цьому нібито вдалося запобігти розкраданню решти коштів, приблизно рівній вкраденої. А сама ситуація, на жаль, виникла виключно з вини клієнтки, яка, на жаль, добровільно передала всі дані шахраям, що зіграв на її довірливості.

Згідно ст. 9 закону 161-ФЗ «Про Національну платіжній системі», в разі використання банківських карт без згоди клієнта, той зобов'язаний не пізніше одного дня з моменту отримання інформації про спірну транзакції направити повідомлення про свою незгоду в банк, який зобов'язаний відшкодувати суму операції, зробленої без згоди клієнта. На практиці банки не відшкодовують кошти, якщо клієнт порушує правила використання карт.

Ігор Голдовський: «Майже впевнений, що даму розвели»

Головний архітектор Національної системи платіжних карт, автор підручників з банківськими картками та безпеки платежів Ігор Голдовський в теорії допускає, що мають рацію обидві сторони - що SMS-код був все-таки було запроваджено, але сам клієнт ні при чому. Можливі два варіанти.

У першому випадку шахрай - співробітник оператора зв'язку або SMS-центру. Він міг вивудити у своєї жертви номер карти, термін дії та CVV2, ініціювати транзакцію і запустити програму моніторингу запитів банку на відправку SMS за номером картки.

У другому випадку шахрай - співробітник банку, який знає ім'я і телефон клієнта, але не знає номера карти (згідно вимог стандарту безпеки даних платіжних карт PCI DSS доступ до номерів карт співробітникам банку обмежений). Тому йому потрібно організувати дзвінок жертві і з'ясувати відсутні дані, включаючи номер карти, після чого він вже в банківській системі зможе побачити запити - номер карти і сформований пароль.

Однак експерт оцінює ймовірність того, що мала місце одна з двох вищеописаних схем як вкрай низьку. Все-таки особистість шахрая в обох випадках легко встановлюється, тому питання полягає в тому, скількох клієнтів він встигне обдурити, поки його не вирахують, і чи варта, як то кажуть, овчинка вичинки, тобто ризику? З урахуванням того, що на кожній окремій карті засобів зазвичай буває не так вже й багато.

Найбільш очевидний варіант, на думку Ігоря Голдовського, полягає все-таки в тому, що клієнт сам назвав пароль зловмисникам. Така ймовірність, на його думку, вище дев'яноста відсотків. Схема, швидше за все, виглядала так: шахраї випитали у жертви номер карти, термін її дії, верифікаційний код на зворотному боці, тут же, під час розмови, ініціювали транзакцію і в завершенні сказали щось на кшталт: «Ви повинні були отримати SMS, назвіть число ». Все, справу зроблено.

СОРМ в допомогу

Насправді, з'ясувати, повідомляла Ніна Фарізова SMS-код шахраям чи ні, досить просто. Вже багато років в нашій країні діє «Система технічних засобів для забезпечення функцій оперативно-розшукових заходів», або СОРМ. Коротенько суть її в тому, що всі оператори зв'язку зобов'язані зберігати записи розмов та SMS-повідомлень всіх своїх клієнтів і видавати цю інформацію за рішенням суду. Здається, правоохоронні органи, якщо вони дійсно активно зайнялися розслідуванням цієї справи, вже знають правду, від якої залежить, чи вийде у Ніни Фарізовой зажадати відшкодування коштів від банку або ж доведеться чекати упіймання шахраїв і позов адресувати вже їм. В останньому випадку, на жаль, покладати занадто великі надії на повернення грошей не доводиться.

Пікантність ситуації в тому, що карта була кредитна. Таким чином, Ніна Фарізова стала боржником банку - з його точки зору, - але логічно припустити, що сама вона з такою постановкою питання не згодна. У банку вже підтвердили, що в разі неповернення коштів клієнтом, будуть використані стандартні процедури стягнення, а значить, історія обіцяє отримати продовження.

Практика показує, що в переважній більшості випадків шахраї використовують довірливість своїх жертв, а не витончені технології. Крім того, в разі суворого дотримання правил використання банківських карт, клієнт має право розраховувати на відшкодування викрадених коштів, якщо все-таки карта була скомпрометована не з його вини - наприклад, якщо її взяли і забрали в ресторані, сфотографували обидві сторони, а потім використовували для покупки в інтернет-магазині, що не підтримує технологію 3D-Secure. Іншими словами, нікому і ні за яких обставин не можна повідомляти PIN-код, CVV2 / CVC2, термін дії карти і SMS-коди підтвердження транзакцій.

І взагалі, при будь-якій розмові з ким би то не було про свої фінанси слід включати режим «Пильність». По іншому ніяк.