Украли одну карту, а доступ получили сразу к двум: москвичка рассказала «Коммерсантъ FM» об уязвимости в системе безопасности Сбербанка. Мошенники сумели похитить средства с обеих ее банковских карт, причем пин-код они знали только от одной. Как это могло произойти? И как обезопасить себя? Выяснял Иван Якунин.
Фото: Антон Тушин, Коммерсантъ / купить фото
Ночью москвичке Анне пришло SMS-уведомление: с одной карты Сбербанка на другую переведена пятизначная сумма. Однако такую операцию женщина не совершала. Но, как выяснилось, это было только начало: «Я обнаружила, что карты нет, и предположила, что, наверное, обронила ее где-то заправке, когда мне пришлось доставать сразу несколько кредиток», — рассказывает она.
На пропавшей карте денег почти не было, все накопления хранились на второй, которая все время оставалась у потерпевшей. Но злоумышленники как-то сумели деньги перевести, а через минуту и снять все, что было на обоих счетах. Как мошенники смогли это провернуть? Этот вопрос Анне разъяснил сотрудник Сбербанка: «Мне специалист по безопасности сказал, что люди, которые снимали эти деньги, попали в мой онлайн-кабинет через обычный банкомат. Там есть такая опция — можно войти в личный кабинет и таким образом получить доступ ко всем картам».
Странно, что банкомат не запросил ни пин-кода, ни SMS-подтверждения. Неужели такая функция действительно есть, и карты не защищены? Вот что рассказали в техподдержке Сбербанка: «Такой функционал работает довольно давно. Он же у вас не снимает деньги с другой карты, а просто переводит их. Не у всех есть возможность иметь дома компьютер, у людей нет доступа к интернету, и они тогда работают с банкоматами для того, чтобы входить в свой личный кабинет и переводить деньги между счетами и картами».
Ответ пресс-службы Сбербанка на запрос "Коммерсантъ FM"
"Хищение средств произошло в результате того, что клиентка потеряла карту и не заблокировала её. Вероятно, пин-код хранился вместе с картой или оказался иным способом известен похитителям. С помощью ввода пин-кода в банкомате был получен доступ к другим счетам клиента. Для того, чтобы счета клиента не были видны в устройствах самообслуживания, можно установить соответствующее ограничение в веб-версии "Сбербанк Онлайн".
Как работает эта система, я проверил на себе. У меня тоже две карты Сбербанка: Visa и «Мир». Одну из них я вставил в банкомат, ввел пин-код и зашел в личный кабинет. Аппарат, подумав пару минут, показал, что у меня есть и вторая карта, выдал всю информацию о ней — последние операции, дату выпуска, баланс — и любезно предложил перевести с нее деньги, что я и сделал без какой-либо идентификации.
Анна обратилась в полицию, но там пояснили, что если у злоумышленников был пин-код, то потерпевшая «сама виновата». По словам же финансового омбудсмена Павла Медведева, предотвратить такие происшествия можно очень просто: «Я некоторые платежи осуществляю через интернет и с досадой фиксирую такой факт — мне не присылаются разовые коды. Без них никакие операции не должны происходить. Но, знаете, как шутка была "дайте мне один метр государственной границы, и я сделаюсь миллиардером: вся граница на замке, а один метр свободный". Что же это за анекдот-то?».
Подобный случай, как выяснилось, не первый. Юрист общества защиты прав потребителей Денис Ульянов уже вел несколько подобных разбирательств, и, по его мнению, вернуть пропавшие средства невозможно: «Женщина на данный момент располагает и карточкой, и доступом. Если она реально сейчас пойдет в полицию то, конечно, будет потерпевшей, и уголовное дело заведут. Банк скажет, что все произошло по вине клиентки, так как она сообщила пин-код. Пробовать нужно, но, на самом деле, судя по практике, у нее ничего не получится».
По словам эксперта по банковской безопасности Романа Ивлиева, единственный способ защититься — хранить деньги не на карте, а на счете: «Я не храню деньги на картах, я храню их на счетах. Счета с банкоматов не видны, они видны только через интернет-банк. Если в кредитной организации функцию перевода денег с карты на карту объяснили тем, что не у всех есть интернет-банк и все такое, то, с одной стороны, это клиентоориентированный подход, а с другой — можно говорить о том, что у медали всегда две стороны. Может быть, это классная идея, но я бы ее делал в режиме подключения: то есть кто хочет, тот подключает такую опцию, а кто не хочет — тот не подключает».
В этой истории остается непонятным, как злоумышленники узнали пин-код, чтобы воспользоваться картой. Анна только предполагает, что сотрудники заправки, обнаружив потерянную ею карту, проверили камеры наблюдения и увидели, какие клавиши она нажимала на кассе. К таким кражам клиенты банков уже привыкли. Но теперь ситуация сложнее: потеряв одну карту, вы рискуете лишиться денег со всех. Так что, похоже, вскоре банкам придется сделать выбор: комфорт или безопасность.
Ранее глава Сбербанка Герман Греф заявил, что компания собирается перевести 100% услуг в онлайн, а количество банкоматов будет сокращаться.