Кража денег через Сбербанк-Онлайн

26.01.2011 я зашел на страницу Сбербанк-Онлайн, по адресу, прописанному в руководстве к данной системе – httpS:\\esk.sbrf.ru. (Обратите внимание, именно httpS, хотя на передаче банкиры утверждали, что мошенники могут сидеть только на http). На карте на тот момент находилось более 400 тыс. рублей. Я получил их (слава Богу, это была только часть) за продажу дома в деревне, доставшегося мне по наследству. Страница, на которую я вошел, не вызвала подозрений – это была точная копия страницы СБ-Онлайн. Как я потом уже заметил, отличался только номер телефона техподдержки в верхней части страницы. Я авторизовался, введя логин и пароль, после чего появилось окно для ввода одноразового пароля. Вслед за этим одноразовый пароль пришел мне на смс, и я ввел его на страничке SBOL. После этого появилось сообщение о том, что на сайте проводятся технические работы, и возможно получение на СМС сообщений о ложных операциях, которые можно отменить, введя одноразовый пароль. Затем, действительно, на СМС пришли 4 сообщения о переводе в 99 тыс. руб на счета разных физлиц. Когда это произошло, мне позвонили на сотовый, представились сотрудниками Сбербанка, и, назвав по имени/ отчеству, подтвердили, что на сайте проводятся технические работы, и чтобы войти на сайт, нужно отменить операции. Я последовал совету «сотрудников Сбербанка». Через 3 дня, находясь в Торговом Центре, я решил посмотреть баланс, и обнаружил, что на карте нет 400 000 руб. В тот же день я сразу позвонил в Сбербанк, где мне заблокировали карту, и порекомендовали написать заявление о спорной операции, что я и сделал на следующий день. В течение последующих дней мне стало ясно, что я авторизовался на копии сайта, IP-адрес был подменен в файле Hosts. Впоследствии смоделировав ситуацию, я обнаружил, что антивирус не отлавливает подобное изменение hosts, т.е. все требования по безопасности с моей стороны были выполнены. Когда я «вошел» на копию сайта, мошенники моментально получили мой логин/пароль и параллельно авторизовались уже на «настоящем» сайте. Соответственно, я получаю СМС с одноразовым паролем, т.к. они вошли на сайт. Я ввожу одноразовый, он тоже уходит мошенникам, и они вводят его на реальном сайте. Все происходит параллельно – я на поддельном, они на настоящем сайте. Получив все данные, они входят на сайт, где есть все мои данные – ФИО, номер телефона, и еще множество личных данных, находящихся в настройках личного кабинета и шаблонах платежей. Там есть и домашний адрес, и телефон, и многое другое. Этого достаточно, чтобы позвонить мне, назвать по Имени/Отчеству и т.д. Для скептиков сразу скажу – хоть я и технический специалист, для меня отличить подделку, и защититься от нее было абсолютно невозможно. Если уж у вас сайт СБ подменен на подделку, вероятность того, что вы останетесь без денег, процентов 90. Однако, защитить вас от мошенничества мог бы только Сбербанк, если бы они предусмотрели ряд мер, которые давно уже используются всеми банками, налоговой, и системами Госторгов. На передаче, в которой участвовала Алла Тасиц, представители СБ заявили буквально «наши серверы защищены, мы не можем защитить компьютеры клиента». Да, это так. Но, они ОБЯЗАНЫ были защитить ПОДКЛЮЧЕНИЕ клиента к системе. В этом случае, мошенники просто не смогли бы зайти на мою страницу, даже зная логин и пароль. Для этого существуют именные сертификаты, аппаратные ключи (типа USB флешки), системы Crypto-Pro. Также используется прямое соединение с банком по [censored]. Использование этих технических решений позволило бы на 100% избежать проблемы. Единственное, почему это не делается – это дорого для банка. Поэтому они продвигают дешевую некачественную услугу. Даже у меня на работе, банк фактически ПРИНУЖДАЕТ фирму отказаться от более безопасной (но более дорогой для банка) системы Клиент-банк, в пользу Сбербанка-Онлайн. На то, что существующая система опасна для наших сбережений, им наплевать. Подход весьма циничный по отношению к клиентам. Теперь о том, что было дальше. Написав заявление о спорной операции в Сбербанк, я в принципе, успокоился. Я был уверен, что ситуация будет расследована банком – все-таки их служба безопасности располагает определенными ресурсами. Спустя некоторое время меня вызвали сотрудники службы безопасности СБ. В тот момент у меня даже возникла иллюзия, что Сбер работает над решением проблемы – но как оказалось, меня вызвали, чтобы только объявить мне, что деньги банк мне не вернет. Но правда, обо всем расспросили, посочувствовали, дали контакты человека из Управления «К», и на том распрощались, сказав, что заявление пока рассматривается, и возможно есть какие-то зацепки. К слову сказать, на тот момент я уже и сам имел распечатку телефонов, с которых мне звонили, IP сайта мошенников, контакты их Хостинг-провайдера, и прочее. Но воспользоваться ими я не мог, т.к. не имею таких ресурсов – Канадский провайдер мне не отвечал. Но я уверен, что банк мог запросить данные, и найти мошенников. Более того, когда я спросил «наверняка деньги снимались в банкомате, оборудованном видеонаблюдением, поднимите видео», мне сказали, что деньги были сняты не в Сбербанке, а в уличном банкомате другого банка, и выяснить это невозможно. Как оказалось – снова ложь. Впоследствии оказалось, что деньги были сняты со всех 4-х карт в тот же день, в центральном офисе Сбербанка на Вавилова, 19. Официальный ответ от Сбербанка пришел мне только в Мае, через 3 с лишним месяца после инцидента. Сказать, что я очень на него рассчитывал – значит ничего не сказать. Но суть ответа сводилась к следующему «на основании того-то и того-то» (дальше идет перечисление каких-то филькиных грамот, которые я никогда не видел) «вы должны самостоятельно расследовать данную ситуацию». Все. Хочу сказать, что хотя банк писал мне о самостоятельном решении проблемы, он фактически лишил меня возможности это сделать. Есть компании, которые расследуют такие инциденты, но там дорого время – максимум месяц. То, что банк ждал 3 месяца, чтобы дать такой ерундовый ответ, то что меня дезинформировали на счет банкомата, и наконец, слишком хорошее знание мошенниками всей системы, наводит на мысль – а не сами ли они все это устраивают? Дальше я обратился в ОБЭП г. Самары, где проживаю. После этого с периодичностью где-то раз в 2 месяца мне стали приходить письма из различных отделов Полиции о том, что дело передано в какой-то другой отдел. Под конец процедура «зациклилась» - один отдел передает дело другому, другой, через некоторое время, возвращает дело обратно. Те – опять туда же, и так по кругу. Все это с интервалом в месяц. Время шло, но все же надежда еще оставалась, потому что с приходом этих писем, создавалось впечатление, что кто-то что-то расследует. Последнее письмо из отдела УВД по Басманному району было наиболее подробным – следователь сообщал, что лица, на счета которых были переведены мои деньги, были опрошены. Все они показали, что продали свои пластиковые карты некоему человеку, после чего судьба этих карт им неизвестна. Далее следовал отказ в возбуждении уголовного дела из-за отсутствия события преступления. Одним из мотивов было то, что банк отказался выдать детализацию по картам данных лиц, которая могла бы дать новый виток расследованию. Это кстати, пресловутая «помощь банка в расследовании». Получается, банк не только не обеспечил безопасность соединения, не только сам не расследовал ситуацию, хотя мог и должен был это сделать, но и всеми силами препятствовал и мне, и правоохранительным органам в проведении этого расследования. На этом фоне заявление представителей банка на передаче, о том, что «каждый такой инцидент расследуется самым тщательным образом», выглядит довольно смешно. В общем, в данный момент у меня ситуация зашла в тупик. Полиция отказала в возбуждении дела. Банк в нем вообще никогда не был заинтересован. Юристы не совсем хорошо понимают суть, и не знают к чему можно придраться. Обжалование отказа в возбуждении дела в прокуратуру подано, но ответа нет. Думаю, при таком потворничестве банка мошенникам, этот вид кражи будет только расширяться и совершенствоваться. Мой совет всем – НЕ ПОЛЬЗУЙТЕСЬ системой Сбербанк-Онлайн. Отговаривайте от нее всех, кого только можете, используя все возможности. И вообще – лучше не работать со Сбером. Я уверен, в другом банке к ситуации отнеслись бы с пониманием, и помогли бы. СБ – застойная организация, что в части работы с клиентами, что в технической части. Особенно раздражает массированная реклама услуги СБ-Онлайн, и навязывание ее физлицам и юрлицам. «МЫ Всегда рядом»? Нет. «Несите свои деньги, на остальное нам плевать». Всем удачи!