Не открывайте вклад в Дом.РФ через Финуслуги!

Меня зовут Александр, я внук 81-летней бабушки. Рассказываю историю, произошедшую с ней. В конце ноября 2024 года бабушка оформила дистанционный вклад на сумму свыше 1 млн рублей в банке Дом.РФ через платформу Финуслуги. Регистрация на Финуслугах с устройства iOS производилась полностью удалённо через госуслуги и Альфа ID, без создания полноценного личного кабинета и выпуска банковской карты в Дом.РФ.

12 февраля 2025 года вклад внезапно исчез из системы Финуслуги. В тот же день перестала работать SIM-карта бабушки —, вероятно, злоумышленники сделали дубликат SIM. После перевыпуска SIM-карты и обращения за разъяснениями в службу поддержки банка выяснилась следующая история: злоумышленники удаленно зарегистрировали личный кабинет на 81-летнюю бабушку в приложении Дом.РФ на платформе Android, используя, вероятно, номер счёта и одноразовый код из СМС, удаленно подписали ДБО, досрочно закрыли вклад и обналичили его через покупки на схожие суммы, общая сумма которых превысила 1 млн рублей, и всё это за два дня! Операции не были заблокированы фрод-системой, информационных сообщений или звонков от Банка не было, подтверждающие коды на iPhone не приходили.

По итогу было подано заявление в полицию о краже и возбуждено уголовное дело. Также в банк было подано заявление об оспаривании проведённых злоумышленником операций с требованием о возврате денежных средств с процентами, в котором отказали.

Считаю вопиющим пренебрежением банка к безопасности клиентов саму возможность удаленной регистрации по единственному фактору — номеру телефона и ОТР-коду из СМС, поскольку номер счёта не может являться секретным значением. Номер счёта не является секретным: его можно узнать из выписки в чеке, договора, он может быть раскрыт сотрудниками, так как, более чем уверен, не маскируется в логах систем Банка, так как на него не распространяются требования PCI DSS эквивалентные требованиям по хранению номеров карт (PAN). Кроме того, отсутствие технических мер защиты от подмены устройства (например, использование OpenID Connect с PKCE) и неэффективность фрод-системы привели к свершившейся краже.

Все вышесказанное нарушает требования к банкам, изложенные в Федеральном законе №115, №161 и приказе Банка России №ОД-1027. Самое интересное, что возможность заключения удаленно полнофункционального ДБО и регистрации клиента в системе «Интернет-банк», прописана в договоре срочного вклада, подписанном Вами в приложении Финуслуги через ПЭП. В этом договоре банк, осознавая все возможные риски своего решения, перекладывает их на клиентов. Советую Вам вчитаться повнимательней:

11.1.7. Клиент понимает и соглашается с тем, что Банк не несет ответственности за получение третьими лицами доступа к информации, переданной Клиенту Банком по указанным в настоящем Договоре контактным данным, в том числе при исполнении Банком обязательств по направлению Средств идентификации в соответствии с Условиями ДБО; задержки и сбои, возникшие в сетях сотовых операторов и интернет-провайдеров, которые могут повлечь за собой задержки или неполучение Клиентом SMS-сообщений и/или электронных писем.

11.1.8. Клиент принимает на себя риск несанкционированного доступа к информации о счетах и иных действующих Банковских продуктах Клиента при предоставлении Банком услуг Дистанционного банковского обслуживания и при направлении Клиенту Банком SMS-сообщений.

Так что владельцы продукта, вполне осознавали, что давая взможность удаленной регистрации клиента в системе «Интернет-банка» они открывают ящик пондоры. В других банках, где думают о безопаснсти, вас пригласят очно подписать ДБО.

Обходите этот банк стороной!