Рейтинг рублевых вкладов

Рейтинг рублевых вкладов
Эксклюзивное исследование Банки.ру — январь, 2017

"Быстрый платеж" от Сбербанка и смартфон - это быстрый способ потерять деньги

18.08.2014 11:24 40 40 622 просмотра
Продолжаю серию статей про удобные для мошенников сервисы Сбербанка.

Предыдущие здесь:
Про (отсутствующую) безопасность банковских карт: Вы все еще пользуетесь картами Сбербанка - тогда мы идем к вам!
Про (неработоспособную) систему проверки IMSI-номера у сим-карт: Сбербанк и несанкционированная замена сим-карт

В этой статье хочется поговорить об опции Мобильного банка Сбербанка "быстрый платеж".
Данный сервис позволяет пополнить счет вашего, или любого другого, мобильного телефона посредством отправки СМС команд на номер 900 с телефона, зарегистрированного в мобильном банке (подробнее о командах по ссылке выше), а так же перевести деньги другому клиенту Сбербанка зная только его номер телефона.

Чтобы не быть голословным, в очередной раз, приведу некоторое количество случаев из "Народного рейтинга" (практически один случай в сутки):

A 04/01 http://www.banki.ru/services/responses/bank/response/7540499/
A 30/11 http://www.banki.ru/services/responses/bank/response/7391974
29/10 http://www.banki.ru/services/responses/bank/response/7282561/ (3D Secure не защищает платежи, если компрометируются СМС, случай интересен еще тем, что для вывода денег использована карта Кукуруза, а это означает компрометацию всех реквизитов карты-донора)
06/10 http://www.banki.ru/services/responses/bank/response/7204873/ (типичный путь ворованных денег: мобильный банк Сбербанка -> лицевой счет МТС -> сервис Легкий платеж)
29/08 http://www.banki.ru/services/responses/bank/response/7050194/
26/08 http://www.banki.ru/services/responses/bank/response/7038138/ (украли телефон, СМС командами перевели деньги на другой мобильный номер)
A 18/08 http://www.banki.ru/services/responses/bank/response/7011478/
A 17/08 http://www.banki.ru/services/responses/bank/response/7008732/
16/08 http://www.banki.ru/services/responses/bank/response/7008448/
14/08 http://www.banki.ru/services/responses/bank/response/7005034/
12/08 http://www.banki.ru/services/responses/bank/response/6994284/
11/08 http://www.banki.ru/services/responses/bank/response/6985803/
10/08 http://www.banki.ru/services/responses/bank/response/6985579/
A 08/08 http://www.banki.ru/services/responses/bank/response/6982729/
07/08 http://www.banki.ru/services/responses/bank/response/6980092/
A 07/08 http://www.banki.ru/services/responses/bank/response/6977173/
05/08 http://www.banki.ru/services/responses/bank/response/6967539/
01/08 http://www.banki.ru/services/responses/bank/response/6959247/
A 28/05 http://www.banki.ru/services/responses/bank/response/6659885/
26/05 http://www.banki.ru/services/responses/bank/response/6649587/

A - в отзывах или комментариях к отзыву, автор отзыва явно указал, что у него смартфон с Андройдом.

Все случаи объединят то, что у пострадавших деньги были украдены с помощью отправки СМС на номер 900 с номера телефона, который зарегистрирован в Мобильном банке Сбербанка. Как минимум четыре случая говорят о том, что существует зловредное ПО для Андройд, которое может перехватывать и отправлять СМС - этого вполне достаточно, чтобы украсть денежные средства с Ваших счетов в Сбербанке. При этом мошенникам, использующим это зловредное ПО, нет необходимости знать остальные конфиденциальные данные, такие как логин/пароль от Сберонлайн, номер и другие данные Ваших банковских карт, все что им нужно - это чтобы Вы загрузили это ПО на Ваш смартфон (например, под видом легальной программы). Подробнее о зловреде, на сайте лаборатории Касперского, еще более подробно на сайте Group-IB

Вот несколько случаев когда полиция поймала злоумышленников:
в Архангельске ,
в Республике Марий Эл ,
в Челябинске (утверждают, что это автор зловреда)
в Томской области ,
но все же бдительности терять не стоит - случаи повторяются.

Что же можно предпринять до кражи, чтобы минимизировать Ваши риски:
- в первую очередь банальное: не использовать сим-карту, с помощью которой можно управлять мобильным банком, в смарфонах (в частности с Андройдом), а еще лучше вообще не пользоваться Сбербанком smile:)
- отключить опцию "быстрый платеж", путем посылки СМС с текстом «НОЛЬ», «НУЛЬ» или «NULL» на номер 900, при этом возможность пополнение собственного номера не отключается
Если учесть, что опция "быстрый платеж" подключается всем по умолчанию и многие об этом даже не знают, то это просто гигантская дыра в безопасности. При наличии у всех ОпСоСов мобильной коммерции (возможности переводить деньги со счета телефона), все равно остается возможность потерять деньги, даже если мобильную коммерцию отключить, то остается возможность посылать платные СМС на аффилированный с мошенниками номер.
- отключить Мобильный банк, если вы им не пользуетесь, путем написания соответствующего заявления в Сбербанке (не забудьте взять копию заявления) или заблокировать его, отправив СМС-сообщение с текстом «04» на номер 900, подробнее о блокировке здесь
- установить пин-код на сим-карту и телефон, т.к. телефон можно потерять (могут украсть) и либо отправлять СМС прямо с телефона, либо вынуть сим-карту, вставить в другой аппарат и отправлять СМС уже с него
на антивирусы и прочие программные методы надеяться не стоит, т.к. всегда существует вероятность, что зловредное ПО окажется свежее, чем данные о нем в антивирусной базе.
Так же хочу обратить внимание на то, что в Андройд и других мобильных ОС, в силу идеологии этих ОС, нет критических уязвимостей, позволяющих установить зловредное ПО без участия пользователя. Поэтому все зловредное ПО на свои мобильные устройства пользователь устанавливает сам и сам же предоставляет им права на доступ к СМС и прочим данным на мобильном устройстве.

Что предпринять, если кража уже произошла:
убедится, что СМС-команды были с Вашего номера - заказать детализацию разговоров у Вашего ОпСоСа
если СМС с Вашего номера не было - запросить у Сбербанка сколько и какие номера мобильных телефонов подключены к Вашему Мобильному банку (далее по ситуации, если есть "левые" номера - выяснять, кто, когда и каким способом их подключил и т.д.), если СМС все-таки были - то написать заявление о спорных операциях в Сбербанк (и получить отказ в возврате), написать заявление в полицию (взять талон КУСП).
А далее попробовать отсудить эти деньги через суд, подав исковое заявление на тему предоставления небезопасной услуги, подробнее об аргументах можно почитать на форуме этого сайта, в частности здесь и здесь. (не совсем по теме, но полезно для прочтения)

Что делает банк для улучшения идентификации пользователя?
А ничего - всю ответственность банк переложил на клиента - вот цитата из Условия банковского обслуживания физических лиц ОАО «Сбербанк России» (действуют с 26 октября 2011 года):
2.21 Клиент соглашается на передачу распоряжений/поручений и/или информации по каналам передачи сообщений, осознавая, что такие каналы передачи информации не являются безопасными, и соглашается нести все риски, связанные с возможным нарушением конфиденциальности, возникающие вследствие использования таких каналов передачи информации

Так же хочу обратить внимание еще на два пункта из тех же "Условий":
2.18 Клиент обязан исключить возможность использования третьими лицами мобильного телефона, номер которого используется для предоставления услуги «Мобильный банк».
2.19 Клиент обязан информировать Банк о прекращении использования номера мобильного телефона, подключенного к услуге «Мобильный банк».


PS.
Вы спросите: Где же служба безопасности или хотя бы изменения в бизнес-процедурах?
Отвечу: А оно топ-менеджменту надо? У них другие цели и задачи

Комментарии 40

SBRF-down  (SBRF-NoServise-2013)
#
Вот бы еще схожую аналитику по продуктам других банков...
smile:)
WПавелW  (oozii)
#
Кирилл, Вы пишите "убедится, что СМС-команды были с Вашего номера - заказать детализацию разговоров у Вашего ОпСоСа". Поясните пжл ОпСоС - это что?
WПавелW  (oozii)
#
Если оператор сотовой, то в моем случае в Детализации предоставленных услуг говорится о типе соединения - "входящий смс/бесплатный входящий/запрос контента смс/интернет-трафик/переадресация на. ./ и пр.", без текстов смс, в столбце номер указаны №№ сотовых и службы банка 900. Исходящих с моего телефона в период хищения не было. Сим-карта была не активна в течение 3-х дней. О том, что "левый" номер действительно подключился, узнал, когда его попытались отключить после всего кипиша. В полиции сделали Акт выимки СМС-сообщения с моего телефона, т.к. Сбер чистосердечно меня об этом уведомил, но уже на мой личный номер. Доки по запросу о всех подключениях-отключениях к Мобильному банку предоставляют только в течение 30 дней.
Кирилл Смирнов  (KiraSoft)
#
Цитата
О том, что "левый" номер действительно подключился


"левый" номер в мобильном банке - это другая история, естественно если номер другой, то никаких СМС с вашего номера не будет
в этой статье речь идет именно о заражении смартфонов с Андройдом зловредом и мерах противодействия ему
опишите свой случай в Народном рейтинге
Паша Ермоченко  (Pawwka21)
#
а только телефоны на андройде к этому "слабые"?
или и все остальные?
Кирилл Смирнов  (KiraSoft)
#
любые, которые позволяют отправлять СМС стороннему ПО (по идее любой телефон, даже с какой-нибудь непопулярной ОС типа Samsung Bada)
но при данной реализации "быстрого платежа", при получении третьими лицами доступа к даже самому простому телефону (например, в случае потери телефона), без возможности запускать на нем стороннее ПО, все равно есть возможность потерять деньги, т.к. СМС команды, отправляемые на номер 900, никак не защищены (например, кодом, который известен только владельцу счета)
отсюда вывод, что не Андройд виноват как таковой, а услуга Сбербанка: не было бы такого дырявого сервиса - не было бы и зловредного ПО (просто Андройд более популярный)
для дополнительной защиты можно порекомендовать установить пароль на телефон и на сим-карту
А вот и свежий отзыв прямо в тему: https://www.banki.ru/services/responses/bank/response/7038138/
Avor Harp  (AvorHarp)
#
Ну почему Сбербанк ничего не делает? - кое что делает. Например при установке приложения мобильный банк в андроид-смартфон выводится предупреждение что в вашем смартфоне установлены приложения не из магазина, а посему либо не ставьте это приложение, либо принимаете на себя все риски. Я взвесил между необходимостью мобильных платежей и возможными рисками и отказался от установки.
Каждый сам себе хозяин.
Кирилл Смирнов  (KiraSoft)
#
1. во-первых предупреждение выводится не о программах, а всего лишь о том root-ованно устройство или нет, какие программы установлены на устройстве приложение Сбербанка не проверяет

2. во-вторых, от мобильного приложения (установлено оно или нет) уязвимость в сервисе Сбербанка никак не зависит - уязвимость заключается в трех вещах:

- подключении по умолчанию мобильного банка (да так, что пользователь иногда даже не знает о таком сервисе)
- абсолютной незащищенности СМС-команд, отправляемых на номер 900 (хотя бы секретным кодом, полученным заранее)
- невозможности дистанционного отключения пополнения номера, привязанного к мобильному банку

и все - и уже не важно, установлено ли приложение от Сбербанка или не установлено - если зловредной программе удастся отправить СМС на номер 900 - то деньги украдут.
Avor Harp  (AvorHarp)
#
Цитата
не важно, установлено ли приложение от Сбербанка или не установлено - если зловредной программе удастся отправить СМС на номер 900 - то деньги украдут.

А если
Цитата
отключить опцию "быстрый платеж", путем посылки СМС с текстом "0" (ноль без кавычек) на номер 900, при этом возможность пополнение собственного номера не отключается

Тогда не украдут? - кстати это платно или нет?

Ну и наконец как же ничего не делают? - например прессуют стариков-пенсионеров которые автоматически попадают под подозрение если сменили сим-карту. заставляя их читать чеки о покупках трясти паспортом, вспоминать давно забытые кодовые слова и другую сложную информацию. Вместо того чтобы пригласить вежливо в ближайшее отделение сбербанка и просто на месте перерегистрировать сим-карту (если уж из офиса оператора им не сообщали кто ее сменил).
Кирилл Смирнов  (KiraSoft)
#
Цитата
Тогда не украдут?


Еще как украдут - возможность отсылать СМС остается, так же как и пополнение собственного телефона

Схема такая: СМС командной пополняется собственный номер телефона, с лицевого счета телефона с помощью мобильной коммерции (в Билайн - это сайт RuRu.ru, в МТС - это сервис "Легкий платеж" и т.д.) выводятся деньги еще куда либо или регистрируется на этот же номер QIWI кошелек и с помощью него деньги с лицевого счета выводятся, например, в один из банков. Да мало ли сервисов, которые позволяют снимать деньги с лицевого счета, главное что все они подтверждают платежи через СМС.

Цитата
кстати это платно или нет?


Бесплатно

Цитата
например прессуют стариков-пенсионеров которые автоматически попадают под подозрение если сменили сим-карту


Система проверки IMSI-номера сим-карты работает очень выборочно.
Вот примеры воровства многотысячных сумм: http://www.banki.ru/blog/KiraSoft/5278.php
И никакие чеки и кодовые слова тут не помогли.

Цитата
Вместо того чтобы пригласить вежливо в ближайшее отделение сбербанка и просто на месте перерегистрировать сим-карту


Да на фига пенсионеру сдался этот мобильный банк и сберонлайн - я бы на месте пенсионера радовался бы его блокировке (хотя я вряд ли буду на его месте, т.к. предпочитаю не пользоваться Сбербанком)
Avor Harp  (AvorHarp)
#
Цитата
Бесплатно
чо-то куда-то 2 рубля пропали smile:(
Цитата
Да на фига пенсионеру сдался этот мобильный банк и сберонлайн - я бы на месте пенсионера радовался бы его блокировке (хотя я вряд ли буду на его месте, т.к. предпочитаю не пользоваться Сбербанком)
объясняю - пенсионер работающий, карта зарплатная, функция была подключена автоматически. Пенсионеру удобно в том смысле что приходят СМС о начислении зарплаты и пенсии. Более ни для чего мобильный банк не нужен, но отключить нельзя - не будут приходить СМСы.
ИБ - нужен, чтобы не ходить в Сбербанк и не платить коммуналку в банкомате, потому что там ещё сложнее и народ в затылок дышит. А пенсионеры всё делают медленно.
PS
я пожалуй даже дам вам ещё ссылку для блога https://www.banki.ru/services/responses/bank/response/4290764/
Там не было пропажи денег, не успели, я отключил, и устроил скандал. *мне даже кажется они до сих пор маме мстят.
Вы верите что это единичный случай формирования шаблона автоплатежа и его активации, а не массово было подключено всему ВИАМ с коллективом 10.000 человек smile;)
Кирилл Смирнов  (KiraSoft)
#
Мы находимся на сайте Банки.ру, обсуждаем банки, отвечал я относительно Сбербанка.
Как расценивает посылку СМС на номер 900 конкретный ОпСоС - я не знаю.

Вот именно - сервис уведомлений через СМС должен быть отдельно, от сервиса мобильного банка,
а не быть навязанной услугой
Хочу работаю в режиме "только чтение" - получаю уведомления об операциях и только,
хочу управлять счетом через СМС - пожалуйста, но это должен быть осознанный выбор пользователя!

Что сделал Сбербанка в этом направлении?
А ничего, только дыр новых понаделал (типа восстановления доступа к Сберонлайн по номеру карты).
Avor Harp  (AvorHarp)
#
Цитата
на месте пенсионера радовался бы его блокировке (хотя я вряд ли буду на его месте, т.к. предпочитаю не пользоваться Сбербанком)
Ну доживете до пенсии - будете.
*Или Юлмарт заключит договор со Сбербанком и вам выдадут зарплатную карту (с подключенным мобильным банком, бесплатно на 3 месяца) smile:)
Avor Harp  (AvorHarp)
#
Кстати Кирилл, я с вашей компании еле содрал обещанные бабки на мобильник за крупную покупку системной платы для компьютера. *Никак отдавать вы мне не хотели, обзвонился smile:D
Кирилл Смирнов  (KiraSoft)
#
у меня нет никакой компании, вы что-то путаете
что касается моего сайта, то я всего лишь посредник, такой же обычный покупатель (физ. лицо), как и вы
Avor Harp  (AvorHarp)
#
Цитата
предпочитаю не пользоваться Сбербанком
- а почему у Вас Кирилл, Сбербанк в друзьях висит в профиле? smile:D
Кирилл Смирнов  (KiraSoft)
#
так удобнее критиковать Сбербанк - я ему не враг, а друг smile:)
Avor Harp  (AvorHarp)
#
Цитата
у меня нет никакой компании, вы что-то путаете

Цитата
Кирилл Смирнов
KiraSoft
подписчиков: 47
Компания: WWW.ULMART.ORG Должность: администратор

Это не я написал а Вы smile;)
Кирилл Смирнов  (KiraSoft)
#
да - это писал я, сайт ORG мой, а сайт RU - не мой - это официальный сайт компании "Юлмарт",
к которой я имею ровно такое же отношение, как и вы - для них я обычный клиент (покупатель)
надеюсь разницу между ORG и RU вы в состоянии осмыслить?
Avor Harp  (AvorHarp)
#
Цитата
у меня нет никакой компании, вы что-то путаете

Цитата
да - это писал я, сайт мой, а сайт RU - не мой ..вы в состоянии осмыслить?

Да, в состоянии.
Всего вам доброго, Кирилл. И творческих успехов в будущем. smile:)
Алиса Селезнёва  (Bura85)
#
Да действительно была подключена опция "быстрый платеж",я даже и не подозревала,но теперь нет,спасибо вам,отключила)) smile:thumbsup:
Кирилл Смирнов  (KiraSoft)
#
если отключали с помощью отправки СМС на номер 900, то обратите внимание, что пополнение собственного номера не отключается
и деньги все равно могут украсть
Сергей Абрикосов  (absbrs)
#
А если отключать через СБОЛ, то пополнение собственного номера отключится или нет?
Ибирь  (Ибирь)
#
Сергей Абрикосов, нет, не отключится. Но можно установить по карте лимит на сумму расходных безналичных операций в месяц - по письменному заявлению в офисе банка. При нулевом лимите будет нулевой риск.
Сергей Абрикосов  (absbrs)
#
Ибирь, а что попадет в этот лимит, кроме сабжа?
По названию получается все, кроме снятия с банкомата??? smile:o
Может быть где-то есть расписанные ньюансы лимитов Сбербанка, не дадите ссылочку?
Ибирь  (Ибирь)
#
В этот лимит попадают любые безналичные операции с карты: покупки, в том числе в интернете, платежи, переводы, в том числе через Мобильный банк и Сбербанк Онлайн. Исключение могут составлять переводы на свои счета, но это надо проверять экспериментально (на какие свои счета можно сделать перевод, несмотря на лимит).
.  (Akvas)
#
только через стационарный комп..смарт это враг безопасности. root доступ и вы много нового узнаете о своём смарте...
Артур Агазарян  (agazarjan)
#
с этим сбербанком лично у меня только нервотрепка.
Татьяна Хромова
#
У знакомой - обычный телефон (не смартфон ). Деньги были сняты аналогичным способом. Использование ПО здесь не причем, ну или, скажем так, пользоваться просто телефоном точно также небезопасно. Дело, именно, в Сбербанке, про что я и писала в отзыве.
Отказаться полностью от "общения" со Сбербанком я не могу. Так как пенсии переводят именно через Сбербанк.
Сочувствую пенсионерам, так как их обманывают как детей. Ну и я туда же...
Можно только параллельно пользоваться услугами другого банка.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.
Страницы:
  • 1
  • 2

Популярные сообщения

Новости по итогам отчетности за январь 2017 г.
Нарушители нормативов ЦБ в январе (тех, кто находится на санации, тех, у кого уже отозвана лицензия и тех, где введена временная администрация, не обсуждаем
7
С Днем Защитника Отечества
Рубрика Карта к празднику Завтра мы все отметим замечательный праздник - день Защитника Отечества! Поздравляю всех причастных! ну и традиционно -
0
На форуме Banki.ru уже год не могут починить flash player
В честь прошедшего Дня святого Валентина — корпоратив для влюблённых в банковский бизнес: видео про суровые будни сотрудников банков (6+). Бабуля-уголовница
2
А жизнь за партию отдадите, если потребуется ?
Категорически всех приветствую! На этот раз речь пойдет ... про экономику, про политику и про ГТО Как известно нация должна быть трезвой
3
Как досрочно погасить автокредит лопнувшему банку?
Как все уже знают, отзыв лицензии банка не является основанием для прекращения платежей по кредитам, взятым в этом банке. Проще говоря, что бы ни случилось
11

Новые сообщения

  • Инвестиционные советы от Vanguard на 2017 год
    Представляю Вашему вниманию инвестиционные советы на 2017 год от второй крупнейшей инвестиционной компании мира Vanguard, под управлением, которой находится
  • Три причины потери денег на фондовом рынке
    Хочешь узнать своего главного врага? Посмотри в зеркало Сегодня мы убедимся в этом высказывании на все 100%. В своем посту «Делай Наоборот: КАК НАДО
  • С Днем Защитника Отечества
    Рубрика Карта к празднику Завтра мы все отметим замечательный праздник - день Защитника Отечества! Поздравляю всех причастных! ну и традиционно -
  • Рынок нефти 21 февраля
    Нефть накануне продемонстрировала сдержанный рост (~0.5%) на фоне сообщений о том, что Саудовская Аравия продолжает сокращать производство в рамках соглашения
  • Моспромстрой и Гарант Сервис
    Очередная мутная история с новацией займа ПАО "Моспромстрой" и какой-то конторой "Гарант Сервис". Чаще всего комбинация слов "Моспромстрой" и "Гарант