Сбербанк и несанкционированная замена сим-карт

26.06.2014 12:11 60 37 115 просмотров
Уже накопилось достаточно случаев, когда со счетов в Сбербанке с помощью несанкционированной замены сим-карт удавалось уводить достаточно крупные суммы денежных средств:


Не Сбербанк, но для статистики по ОпСоСам:
МТС (05.09.2014) + QIWI : 119 т.р. http://www.banki.ru/forum/?PAGE_NAME=message&FID=38&TID=245857
Мегафон(05.06.2015): 235 т.р. http://www.banki.ru/services/responses/bank/response/8280179/ (фальшивая доверенность)

Итого:
МТС: 18 случаев
Билайн: 6 случаев
Мегафон: 6 случаев

По годам:
2012: 1 случай
2013: 2 случая
2014: 13 случаев
2015: 13 случаев

smile:!: Для тех кто ищет судебные решения или примеры исков предлагаю покликать по ссылкам из данной статьи и почитать комментарии, там есть цитаты судебных решений и примеры исков, особенно рекомендую обращать внимание на сообщения от пользователя Дмитрий 29

Собственно последний случай и навеял вопрос:

Допустим с заменой сим-карт у мошенников проблем нет. У ОпСоСа работает инсайдер, сообщник мошенника, который запросто произведет замену любой сим-карты своему партнеру - следов данная операция не оставляет:
    - письменное заявление от клиента не нужно
    - копирования предоставляемых документов не производят
    - если осуществляется видеонаблюдение, то на записи будет видно, что некто пришел в салон, показал что-то похожее на паспорт или другое удостоверение личности и все - сим-карту меняют. Сообщник, в случае проверки, подтвердит, что предъявленный документ сомнений не вызывал (тем более, как правило, это не сотрудник ОпСоСа, а сотрудник партнера ОпСоСа, которому принадлежит салон сотовой связи)


Отсюда вопрос: а как мошенники узнают логин и пароль для доступа к Сберонлайн?
Оказывается очень просто - существует как минимум 3 способа для получения доступа к Сберонлайн, в зависимости от той информации, которая доступна мошенникам:

    1. сложный, с точки зрения получения дополнительной информации, у мошенников есть полный номер банковской карты:
    используется штатная процедура получения логина и пароля для доступа в Сберонлайн: https://online.sberbank.ru/CSAFront/async/page/registration.do
    update: если Сберонлайн уже был подключен (уже был получен логин), то для восстановления доступа к Сберонлайн используется другая форма, требующая знание логина, тем не менее можно зарегистрироваться заново и получить новый логин и пароль, через официальный сервис

    2. средний сложности, с точки зрения получения дополнительной информации: известны персональные данные (а они легко могут быть получены, от инсайдера у ОпСоСа и запрос этих данных легален - ведь именно этот клиент приходил менять свою сим-карту) и данные об одной из операций по карте Сбербанка (выкинутый чек на пополнение счета телефона содержит и сумму и телефон) - доступ в Сберонлайн восстанавливается звонком в контактный центр Сбербанка

    3. простой: мошенники знают последние 4 цифры номера карты (а они есть в любом чеке из банкомата или POS-терминала)
    читаем п.2 инструкции http://sberbank.ru/oldpskov/ru/person/dist_services/bonus/inf_31_01_13/
    update: данный способ уже не актуален, в ответ Сбербанк присылает СМС с сообщением воспользоваться процедурой восстановления доступа на сайте Сберонлайн.

    Цитата
    Чтобы стать обладателем пароля, с мобильного телефона, к которому подключена услуга, отправьте на сервисный номер 900 SMS-сообщение с текстом «ПАРОЛЬ ХХХХХ» или «PAROL ХХХХХ», где «ХХХХХ» — последние 5 цифр номера вашей банковской карты. В ответ вам придет сообщение с паролем.

    мошенникам остается подобрать всего лишь одну цифру (10 вариантов) и пароль у них


Так же хочу напомнить, что Сбербанком заявлена возможность блокировки Сберонлайн, при замене сим-карт клиентом:
http://www.sberbank.ru/moscow/ru/person/dist_services/faq/#t2_q9
Цитата
Сбербанк Онлайн: часто задаваемые вопросы

Что делать, если при совершении операции система вывела сообщение о том, что моя SIM-карта была заменена и мне необходимо позвонить в Контактный Центр для подтверждения информации?

В целях безопасности Сбербанк приостанавливает отправку SMS-паролей в связи с заменой SIM-карты до момента обращения клиента в Контактный Центр Сбербанка по телефону 8-800-555-5550.
Вам потребуется назвать паспортные данные, а также данные с чека по любой операции, совершенной в банкомате или торговой точке по Вашей банковской карте. После подтверждения информации Вы сможете завершить процедуру регистрации мобильного приложения.


а так же здесь, здесь (пункт 3.18.4), здесь (пункт 10.25)

Но как показывает практика, а случаев намного больше, чем три (см. здесь), это не работает.
Не работает это и в случае, когда привязанный к "Мобильному банку" или Сберонлайн мобильный номер, ОпСоС продает другому клиенту, в связи с тем, что предыдущий владелец перестал его использовать. А ведь новому владельцу мобильного номера выдают новую сим-карту, с другим IMSI-номером.

Вот примеры, когда система сработала (при замене самими пользователями - примеров, когда это спасло от воровства нет):
http://www.banki.ru/services/responses/bank/response/7935429/ (информация о замене сим-карты сработала через 300 дней)
http://www.banki.ru/services/responses/bank/?responseID=6219544 (информация о замене сим-карты обрабатывается с задержкой)
http://www.banki.ru/services/responses/bank/?responseID=4126788
http://www.banki.ru/services/responses/bank/?responseID=4126788
http://www.banki.ru/services/responses/bank/?responseID=5186679
http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=61&TID=218316&MID=4083025#message4083025 (у мошенников блокировка не срабатывает, зато у владельца карты срабатывает, когда он повторно меняет сим-карту, вслед за мошенниками)

У меня складывается впечатление, что система проверки IMSI номера сим-карты намеренно или вынужденно, в силу каких-то технических причин, отключена Сбербанком, т.к. некоторое время назад был шквал отзывов (см. ссылки выше) о блокировке Сберонлайн при легальной замене сим-карт, а сейчас таких отзывов не наблюдается. Не думаю, что пользователи стали меньше терять телефонов и качество сим-карт улучшилось, тем более, что сейчас чаще меняют формат сим-карты (микро, нано) или заменяют обычные сим-карты на сим-карты с поддержкой 4G. Т.к. все риски переложены Сбербанком на пользователя, то, видимо, Сбербанк это особо не беспокоит.

Кроме того, в приличных банках, существуют антифродовые системы, которые сообщают соответствующим лицам о не типичном поведении пользователя или, наоборот, о типичном для фродовой операции. В данном случае, операции на большие суммы, сразу после смены пароля на доступ к интернет-банку, тем более если перевод осуществляется за счет кредитных средств (как в одном из случаев). Обычно, в других банках, сотрудник соответствующий службы перезванивает клиенту для идентификации клиента и получения подтверждений о проводимых операциях.

Выводы, из всего вышесказанного, предлагаю сделать самостоятельно.

Полезная информация:
Cводная таблица банков со сведениями о поддержки проверки замены сим-карт

Тема на форуме "Банки на страже симок"

Еще одна тема на форуме с примерами судебных решений по несанкционированной замене сим-карты: Восстановили cим карту и украли деньги.

Про МТС и несанкционированную замену сим-карт, с примерами судебных решений

интересное судебное решение - услуга с недостатком (невозможно определить кто отправляет СМС в Мобильный банк): http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=61&TID=195258&MID=2363680#message2363680

еще решение суда по несанкционированной замене сим-карты МТС:
http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=34&TID=210482&MID=4595784#message4595784 (в этой же теме есть еще несколько решений судов)

Дополнение по схеме с картами Кукуруза:
Т.к. все чаще в схемах с несанкционированной заменой сим-карт применяться предоплаченная карта Кукуруза для обхода лимита переводов с помощью Сберонлайн и ускорения вывода денежных средств, а так же в связи с тем, что эту карту может легко получить любой асоциальный гражданин, который будет использован в качестве дропа, то вот некоторые факты:
1. применение Кукурузы говорит о том, что мошенники знают ВСЕ реквизиты вашей карты Сбербанка (как с лицевой, так и с обратной стороны)
2. совершение множества однотипных операций по переводу денег за счет кредитных средств совершенно не волнуют антифродовую систему и службу безопасности Сбербанка (если такая вообще существует)

PS. Личный опыт - банки, где работает:
    - проверка замены сим-карты: БРС, ТКС, АйМаниБанк
    - антифродовая служба: БРС, ТКС, Homecredit, Связной, Авангард


PSS. еще по ТКС, т.к. банк дистанционный, то там не только IMSI-номер сим-карты проверяют, но и даже голос клиента распознают (мошенника распознают сразу, даже если с вашего телефона будет звонок): http://www.banki.ru/services/responses/bank/response/7042794/
А теперь осмыслите насколько Сбербанк отстал в качестве, а главное безопасности обслуживания клиентов.

А вот так за безопасность борется банк ВТБ24: http://www.banki.ru/blog/KiraSoft/4341.php

Комментарии 60

Семен Альтов  (Юза228(2))
#
очень интересно!надеюсь эту статью читают только честные люди!
Андрей Тишкин  (AndrewTishkin)
#
Цитата
Отсюда вопрос: а как мошенники узнают логин и пароль для доступа к Сберонлайн?
1 - если пользователь уже регистрировался, то повторно не даст. Либо даст ограниченный доступ.
3 - у меня вообще нулевая реакция на запрос, а ранее писали, что в ответ присылают ссылку на восстановление через сайт, потому что тоже логин и пароль уже есть
Кирилл Смирнов  (KiraSoft)
#
Замена сим карты возможна только при личном присутствии и только по паспорту владельца номера.
Замена по доверенности противоречит правила оказания услуг подвижной связи от 25.05.2005 N 328.
В соответствии с п. 2 Правил от 25.05.2005 N 328 SIM-карта – это карта, с помощью которой обеспечивается идентификация абонентской станции (абонентского устройства), ее доступ к сети подвижной связи, а также защита от несанкционированного использования абонентского номера.
Перечень данных, которые должны быть указаны в договоре об оказании услуг связи, установлен в пункте 19 Правил от 25.05.2005 N 328 , в соответствии с подпунктом «ж» которого в договоре должен быть указан, в том числе, номер SIM-карты.
В силу требований п. 15 Правил оказания услуг подвижной связи N 328 договор заключается в письменной форме в двух экземплярах и подписывается сторонами. Договор, заключаемый с гражданами, является публичным договором, подпись лица, уполномоченного оператором связи на заключение договора, должна быть заверена печатью оператора связи или организации, уполномоченной оператором связи на заключение договора от его имени.
Пунктом 48.1 Правил от 25.05.2005 N 328 предусмотрено, что изменение договора оформляется путем заключения дополнительного соглашения в письменной форме либо путем совершения абонентом конклюдентных действий, перечень и порядок осуществления которых определяются оператором связи.
В соответствии со ст. 452 ГК РФ соглашение об изменении или о расторжении договора совершается в той же форме, что и договор, если из закона, иных правовых актов, договора или обычаев делового оборота не вытекает иное.
Таким образом, в связи с изменением существенных условий договора о номере сим-карты, такое изменение договора должно быть произведено в письменной форме.
Из пункта 18 Правил от 25.05.2005 N 328 следует, что при заключении договора гражданин представляет оператору связи документ, удостоверяющий личность.
В соответствии с пунктом 19 Правил в договоре должны быть указаны, в том числе сведения об абоненте (фамилия, имя, отчество, место жительства, реквизиты документа, удостоверяющего личность).
Согласно п. 1 Положения о паспорте гражданина Российской Федерации, утвержденного Постановлением Правительства Российской Федерации от 08 июля 1997 года N 828 паспорт гражданина Российской Федерации является основным документом, удостоверяющим личность гражданина Российской Федерации на территории Российской Федерации.

Таким образом, внесение изменений в договор с абонентом о номере сим карты без личного присутствия абонента и без предъявления абонентом паспорта (а это надо тоже доказать оператору) является нарушением правил от 25.05.2005 N 328
Таких как пункт 56. За неисполнение или ненадлежащее исполнение обязательств по договору оператор связи несет ответственность перед абонентом в следующих случаях:
г) некачественное оказание услуг подвижной связи;
е) нарушение требований об ограничении распространения сведений об абоненте, ставших известными оператору связи в силу исполнения договора;
57. Оператор связи за неисполнение или ненадлежащее исполнение обязательств в соответствии с договором несет следующую имущественную ответственность:
е) возмещает по требованию абонента причиненные убытки, а также моральный вред в случае нарушения оператором связи тайны телефонных переговоров и сообщений, а также требований об ограничении распространения сведений об абоненте, ставших ему известными в силу исполнения договора.
Ибирь  (Ибирь)
#
Цитата
Замена сим карты возможна только при личном присутствии и только по паспорту владельца номера.

Такая трактовка нарушает права лиц, которые по каким-то причинам не могут посетить место обслуживания клиентов оператора связи (например, инвалидов), а также лиц, у которых нет паспорта (например, утративших паспорт и которым выдано временное УДЛ).
Е. Ида.  (euga11)
#
В бланке-заявлении на замену SIM-карты Билайн, заполняемом в офисах обслуживания, не принадлежащих Билайн (дилерских офисах) есть пункт:

"Предупреждён о том, что ОАО ВымпелКом не несёт ответственности за возможную утечку информации через дилера".
Ибирь  (Ибирь)
#
Добавьте в коллекцию: http://www.banki.ru/services/responses/bank/response/7716545 В СБОЛ перевели деньги с вклада на карту, а затем осуществлялись переводы на карту (карты) Кукуруза - явно не в СБОЛ, а через сторонний сервис (скорее всего, личный кабинет Кукурузы), но с помощью перевыпуска сим-карты. МТС, похищено 800 тыс. руб.
Ибирь  (Ибирь)
#
Добавьте в коллекцию: http://www.banki.ru/services/responses/bank/response/7873506/ Оператор: Мегафон. Сумма: 107 тыс. руб. Перевели в СБОЛ с вклада на карту с закрытием вклада, затем с карты в другой банк и через Мобильный банк.
Ибирь  (Ибирь)
#
По http://www.banki.ru/services/responses/bank/response/7907978/ Ситуация ухудшилась:
Цитата
Оказывается, что 7.04 не только перевели 80000 р с кредитной карты на мобильный телефон МТС, но и 50000 р с дебитовой катры перевели на другую карту!!!!

Т.е. общий ущерб 130 тыс.
Ибирь  (Ибирь)
#
Мегафон, С-Пб, поддельная доверенность якобы из Москвы, в СБОЛ переведено с вкладов на карту, а затем списано с последней 604 тыс. рублей: http://www.banki.ru/services/responses/bank/response/7926669
Доверенность подписана неустановленными лицами, которые нотариусами не являются (по данным Московской городской нотариальной палаты), форма доверенности не соответствует требованиям.
Вакан  (Вакан)
#
Не понятно, переводят в другой банк, но тут же становятся известными все координаты получателя. Или достоверность паспортных данных банками не проверяется?
Кирилл Смирнов  (KiraSoft)
#
ну какие-такие паспортные данные

предлагаю рассмотреть три варианта увода денег, сортировка по скорости исполнения:

1. самый быстрый
перевод с карты на карту, инициированный сторонним сервисом c2c, деньги можно снимать скарты через 30 секунд после перевода
кроме номера карты-реципиента неизвестно ничего
Сбербанку никто ничего не расскажет о держателе карты-реципиента, вам тем более

2. быстрый
перевод с карты на карту, внутри Сбербанка (т.е. обе карты Сбербанка), инициированный командой Мобильного
банка, деньги можно снимать так же быстро, все зависит от того как быстро Сбербанк обрабатывает такие операции
Сбербанк узнает кому принадлежит карта-реципиент, но опять же вам ничего не расскажет, только следователю в рамках уголовного дела

3. Медленный
Межбанковский перевод физ. лицу в другой банк, обычно один-два дня идут деньги из банка в банк
Кроме ФИО получателя ничего не известно, другой банк так же ничего не предоставит о своем клиенте, все тоже только следователю.

ну и где вы тут возьмете паспортные данные?

по первым двум случаям, даже если узнают кто держатель карты-реципиента, то окажется, что "подошел человек на улице, предложил заработать: за 1000 р. оформить дебетовую банковскую карту - я оформил, карту и пин-код передал этому человеку "
умысел не доказать, максимум что ему грозит - незаконное обогащение, т.к., скорее всего, это будет асоциальный гражданин, то и взять с него будет нечего

как вариант (в т.ч. номер 3), еще может оказаться, что карта-реципиент или счет, куда деньги переводят, принадлежит клиенту у которого мошенники сделали копию карты (скимминг), но денег у этого клиента нет или не много, тогда его используют как дропа - переводят к нему украденные у других деньги и по его копии карты снимают наличные в банкоматах.
Ибирь  (Ибирь)
#
На форуме пользователем Дмитрий 29 было приведено несколько судебных решений по смене сим-карты. 2 из них - на уровне высшего суда региона:

1) http://oblsud.cht.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=404317&delo_id=28­00001&new=2800001&text_number=1&case_id=353647

Постановление Президиума Забайкальского краевого суда от 19.02.2015 по делу № 4Г-3/2015

Оператор связи: ЗАО «СИБИНТЕРТЕЛЕКОМ». Управляющая компания оператора: МТС. Коммерческий представитель: ЗАО "Русская Телефонная Компания". 02.12.2013 была заменена сим-карта в салоне ЗАО "Русская Телефонная Компания". При этом заявление абонента отсутствовало, работником РТК были скомпрометированы логин и пароль доступа к автоматизированной системе расчетов МТС. Со 2 по 5 декабря 2013 г. были произведены списания с карт Сбербанка с помощью "Мобильного банка". Предварительное следствие приостановлено в связи с неустановлением лица, подлежащего привлечению в качестве обвиняемого. МТС претензию потребителя оставило без ответа.
Мировой судья судебного участка № 14 Центрального района г. Читы 23 мая 2014 года взыскал с ЗАО «СИБИНТЕРТЕЛЕКОМ» и Сбербанка: в равных долях сумму убытков, судебных расходов, компенсацию морального вреда, штраф. Апелляционным определением Центрального районного суда г. Читы от 29 сентября 2014 года решение оставлено без изменения. Президиум отменил решение в части взыскания средств со Сбербанка; убытки, компенсацию морального вреда и штраф взыскал только с ЗАО «СИБИНТЕРТЕЛЕКОМ».

2) http://vs.kbr.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=277564&delo_id=5&­text_number=1

Апелляционное определение Судебной коллегии по гражданским делам Верховного Суда Кабардино-Балкарской Республики от 15.01.2015 по делу № 33-44/2015

Иск к отделению №8631 Северо-Кавказского банка Сбербанка. 15.04.2014 неустановленным лицом была перевыпущена сим-карта в салоне Мегафона г. Ростов-на-Дону. В течение 16-17 апреля в СБОЛ были переведены деньги с вклада на карту, а затем с карты на яндекс-кошельки и в оплату услуг . Запрос полиции банк проигнорировал. Уголовное дело было возбуждено и приостановлено за неустановлением лица, подлежащего привлечению в качестве обвиняемого.
23.10.2014 Нальчикский городской суд КБР постановил взыскать ущерб и судебные расходы. Сбербанк подал апелляционную жалобу. Судебная коллегия по гражданским делам оставила жалобу без удовлетворения.
Ибирь  (Ибирь)
#
Билайн, Москва: 252,5 т.р. http://www.banki.ru/services/responses/bank/response/7944159/ Перевыпуск сим-карты по поддельному временному удостоверению личности. Деньги были списаны с кредитки и дебетовки на номера телефонов. Начали списывать через 40 минут после замены сим-карты, всю сумму списали за 43 минуты. Сотрудник офиса Билайна уволился через 2 дня после выдачи новой симки и за 2 дня до обращения пострадавшей к Билайну с претензией. Билайн и банк в выплате возмещения отказали.
Ибирь  (Ибирь)
#
Цитата
Билайн: http://www.banki.ru/services/responses/bank/response/7414229/ (проверка IMSI у одного и того же клиента то работает, то не работает)

Цитата
euga11 Автор отзыва
20.12.2014 15:31
Елизавета,

Салон связи "Билайн", в котором произошла выдача дубликата SIM-карты, компенсировал мне понесённый ущерб, в связи с этим к Сбербанку материальных претензий не имею. Прошу донести эту информацию до службы безопасности и до отдела работы с претензиями.
Спасибо.
Ибирь  (Ибирь)
#
Мегафон, Москва: 150 т.р. + $500 Банк в возмещении отказал: http://www.banki.ru/services/responses/bank/response/7971952/
Цитата
Звонок по телефону на кредитке помог выяснить, что деньги перевели на кукурузу в Новосибирске. У жены были: сберегательный счет с 260тр, MasterCard с 30тр и долларовая Visa. Жулики перевели все 260тр на masterCard, а с него 150тр на кукурузу. И с Visa 500$ на нее же.
Ибирь  (Ибирь)
#
МТС, Краснодар: 110 т.р. http://www.banki.ru/services/responses/bank/response/7974216/
08.04.2015 держатель кредитки в 11:00 сдал карту в банк с получением расписки, в 16:00 в Новосибирске была заменена сим-карта, 110 т.р. были переведены с кредитки на Кукурузу, банк в аннулировании задолженности отказал.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.
Страницы:

Популярные сообщения

Новости по итогам отчетности за февраль 2017 г.
Нарушители нормативов ЦБ в феврале (тех, кто находится на санации, тех, у кого уже отозвана лицензия и тех, где введена временная администрация, не обсуждаем
10
День Святого Патрика
Рубрика Карта к празднику Сегодня отмечается красивый ирландский праздник День Святого Патрика. В этот праздник люди желают друг другу, чтобы каждый
0
Кредитные карты Tinkoff All Airlines и S7 World. Сравним?
Тут на днях случилось! Вау! Более 2-х недель банк Тинькофф пытался вбрасывать разного рода «намеки» на скорый анонс очередного продукта который «порвет
3
ОФЗ для ИИС
Гуглил я тут в поисках ответов по некоторым непонятным вопросам в отношении ОФЗ для ИИС. Увы, но абсолютное большинство статей, лекций вебинаров и т.д.
0
Меркурий в Тельце
Транзитный Меркурий вошел в Знак Тельца и пробудет в этом Знаке до 20 апреля. Что же нам ждать от этого транзита Меркурия? Всё факты в это время принимаются
0

Новые сообщения

  • Ваш величайший актив - это Вы сами
    Мотивация инвестирования, сохранения и повышения квалификации Почти все статьи, посвященные инвестициям и личным финансам (в том числе и мои), в основном
  • Спекулянтов жмут, но они не сдаются
    Предлагаю вашему вниманию статью, показывающую то, о чем не принято говорить: спекулянты и трейдеры постоянно в убытке. Только очень небольшой процент
  • Покупка ойфона в кредит, как маркетинговое исследование.
    Я вообще люблю рассказывать о банках. О разных банках, можно и о стеклянных, ну с огурцами, лучше венгерских, что бы голова за помидорами пролазила. И
  • Меркурий в Тельце
    Транзитный Меркурий вошел в Знак Тельца и пробудет в этом Знаке до 20 апреля. Что же нам ждать от этого транзита Меркурия? Всё факты в это время принимаются
  • Международный день театра
    Рубрика Карта к празднику Сегодня отмечается Международный день Театра. Наверное самой известной картой к этому празднику является карта Сбербанка