Клиенты МТС-банка пожаловались на кражу денег с карт

Клиенты МТС-банка сообщили, что мошенникам путем подмены номера удалось вывести деньги с их счетов. Сам банк начал проверку, но заявил, что информация о кражах действительности не соответствует. Жалобы проверяет и Роспотребнадзор

Клиенты МТС-банка пожаловались на кражи денег с их счетов, привязанных преимущественно к кредитным картам. Об этом они сообщают в официальных группах банка в социальных сетях и на форуме banki.ru. Пострадавшие клиенты также создали чат во «ВКонтакте», в котором состоят около 30 человек.

В МТС-банке заявили РБК, что на данный момент к ним обратились несколько клиентов, по их заявлениям проводится проверка. В ответ на просьбу подтвердить информацию о сообщениях о краже представитель банка сказал, что она не соответствует действительности: «Любая кредитная организация, в том числе МТС-банк, в случае выявления попыток мошенническим образом завладеть средствами клиента сразу проводит тщательную проверку».

В конце мая клиенты МТС-банка жаловались на принудительную смену паролей банком для входа в мобильное приложение — они отмечали, что без предупреждения получили СМС от банка с новым паролем, при этом часть пользователей не смогли зайти по нему в личный кабинет. Тогда пресс-служба банка сообщила РБК, что проводятся плановые мероприятия по повышению безопасности онлайн-сервисов. Данные пользователей «не пострадали, поскольку расположены в защищенных сегментах сети», подчеркивали в банке. На этой неделе в МТС-банке заявили, что смена паролей и жалобы на кражи никак между собой не связаны.

В Банке России ситуацию с жалобами на кражи в МТС-банке комментировать отказались. Источник на рынке информационной безопасности рассказал РБК, что регулятор в курсе жалоб клиентов и разбирается в ситуации. Подобные обращения поступали в территориальный орган Роспотребнадзора, сказал его представитель: «Поскольку обращения еще рассматриваются, говорить о конкретных мерах в отношении исполнителя услуг пока рано, но, безусловно, при наличии оснований будут приняты все необходимые меры реагирования, предусмотренные законодательством РФ». РБК направил запросы в МВД и Генпрокуратуру.

Что говорят пострадавшие клиенты

РБК пообщался с клиентами, заявившими о кражах. Списания со счетов без их ведома происходили с конца марта по начало июня. Большинство счетов привязано к кредитным картам, также есть случаи списания с дебетовых карт и накопительных счетов. Корреспонденту РБК ответили 11 клиентов — в общей сложности, с их слов, у них украли более 1,8 млн руб.

Как рассказывают клиенты МТС-банка, большинство хищений происходило по одной схеме: мошенники заблокировали мобильный номер клиента (сотовым оператором большинства пострадавших является МТС, также есть случаи блокировки номеров клиентов «МегаФона», «Билайна» и Tele2), затем поменяли в банке номер клиента на свой, получили доступ к счету и онлайн-банкингу и перевели денежные средства. «Просматривая свои истории в личных кабинетах МТС и МТС-банка, я узнал, что услуга «Добровольная блокировка номера» мне была подключена 4.06.2020 в 22:55. А все мошеннические транзакции были проведены 5.06.2020 с 02:20 по 02:50», — рассказывает один из пострадавших, Юрий, попросивший не упоминать его фамилию.

Представитель МТС уточнил, что жалоб на работу сервиса за последний месяц от клиентов не поступало (пострадавшие клиенты в беседе с РБК отмечали, что обращались в МТС). Представители «ВымпелКома» (бренд «Билайн») и «МегаФона» сообщили, что компании не фиксировали жалоб от клиентов на подобные ситуации. Tele2 не ответил на запрос РБК.

Как мошенники могли украсть деньги

• В таких схемах злоумышленники сначала могут позвонить в call-центр оператора связи и попросить временно заблокировать номер (такая возможность есть у любого оператора, например на случай кражи телефона) — для этого надо знать паспортные данные жертвы, объясняет сотрудник одного из операторов связи. Затем мошенник, знающий паспортные данные, мог позвонить в call-центр банка и попросить привязать другой номер телефона вместо прежнего. Это позволило бы ему получить полный доступ к одноразовым СМС-паролям, которые приходят на привязанный номер телефона для подтверждения операции.
• Корреспондент РБК обратился в call-центр МТС-банка с вопросом, как можно сменить номер, привязанный к счету. Оператор call-центра ответил, что теперь это можно сделать только при личном обращении в отделение, хотя пару дней назад еще существовала возможность сменить номер через call-центр, зная только паспортные данные и кодовое слово. В пресс-службе банка РБК пояснили, что номер можно сменить только в салоне МТС, отделении банка или в банкомате.
• Если мошенники смогли получить доступ к номеру телефона, а затем и банковскому счету, зная паспортные данные и кодовое слово, то могла произойти утечка персональных данных клиентов МТС-банка, говорит основатель и технический директор компании DeviceLock Ашот Оганесян: «В руки мошенников могла попасть как полная база с паспортными данными и кодовым словом, так и просто с ФИО клиентов и их остатками по счету. Во втором случае злоумышленники могли выбрать клиентов с самыми большими суммами на счетах и заказать услугу «пробива» их данных у оператора и в банке. Стоимость такой услуги в банках может достигать 15 тыс. руб. У сотовых операторов «пробив» номера стоит от 800 руб. до 4,5 тыс. руб., блокировка номера — от 3,5 тыс. руб. и выше (следует из объявлений, размещенных в даркнете. — РБК)».
• Завладеть кодовым словом могут только сотрудники банка с определенным уровнем доступа, продолжает руководитель направлений «Комплаенс» и «Аудит» управления безопасности группы компаний Softline Илья Тихонов. «Я могу предположить, что в данной ситуации имел место либо инсайд (специальный человек в банке оказывает услугу «пробива». — РБК), либо хорошо организованная целевая атака на серверы самого банка». Банальная утечка персональных данных точно не дала бы преступникам возможность организовать такую схему хищения средств, так как в одной базе обычно не хранятся и паспортные данные, и кодовое слово, отмечает Тихонов. По словам эксперта, блокировка номера телефона в данном случае нужна была, скорее всего, для того, чтобы потенциальные жертвы не получили уведомление о смене данных, привязанных к счету.
• Принудительная смена паролей банком (МТС-банк провел ее в конце мая) может свидетельствовать об усилении мер безопасности при подозрении на компрометацию учетных данных клиентов, чтобы злоумышленники не смогли воспользоваться ими и, например, зайти в личный кабинет пользователя, говорит руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин.

В каких случаях банк должен вернуть деньги

Пострадавшие подавали заявления в МТС-банк, обратились в правоохранительные органы и Роспотребнадзор. В банке им ответили, что на проверку инцидента уйдет 60 дней, рассказали несколько собеседников РБК. Один из пострадавших, Дмитрий Зонов, обнаружил кражу 31 марта, заявление в банк подал на следующий день, однако, несмотря на то что срок рассматривания обращения уже вышел, ответа не получил. Срок на рассмотрение подобного обращения установлен законом «О национальной платежной системе» и составляет 30 суток для проверки операций, совершенных внутри страны, и 60 суток для трансграничных операций: если банк обозначил срок 60 суток, значит, операции могли быть проведены за рубежом, поясняет партнер коллегии адвокатов Pen & Paper Анатолий Логинов.

Другой пострадавший, Валерий Кокорин, обратился в банк в начале апреля. Ответ от кредитной организации (РБК с ним ознакомился) пришел в начале июня, в нем говорится, что по карте клиента был осуществлен перевод на карту физического лица другого банка через стороннюю эквайринговую сеть с применением протокола обработки интернет-транзакции 3D-Secure (СМС с кодом на номер телефона, указанный в банке). Банк отказался возвращать клиенту денежные средства, так как операция была подтверждена введением одноразового кода, отправленного на указанный в банке номер телефона (клиент говорит, что это номер мошенников).

Этот ответ банка выглядит спорным, считает Логинов: «Банк ссылается на норму ФЗ «О НПС», в соответствии с которой он обязан вернуть денежные средства либо сам доказать, что клиент нарушил порядок использования электронного средства платежа и именно это нарушение привело к совершению спорной операции. То есть банк в указанном случае должен вернуть деньги, но все же пишет, что оснований для этого нет».

По мнению юриста, в рассматриваемом случае мошенники получили доступ к средствам платежа и денежным средствам клиентов без их участия и, если банк не докажет обратное, отказ в возврате денежных средств клиенту является неправомерным.

«Анализ поступающих обращений показывает, что зачастую потребители сами передают информацию о картах мошенникам, что, в свою очередь, исключает ответственность банка», — отметили в Роспотребнадзоре. В то же время в ведомстве полагают, что «банк обязан доказать, что с его стороны в рамках оказания услуги были приняты надлежащие меры, обеспечивающие ее безопасность и исключающие возможность получения, например, одноразового пароля посторонними лицами, а спорная операция осуществлена исключительно по причине нарушения потребителем правил безопасности при использовании карты».