Рабочая схема по уводу денег с кредитных карт Сбербанка через Билайн. Мошенничество.
Столкнулся на этой неделе с неприятной ситуацией. У моей жены с кредитной карты увели деньги. Разобрался как это делается. Пишу, чтобы предупредить, о дырах в Сбербанке и Билайне. Случайные эти дыры для увода денег клиентов или нет, решать вам.
Итак, схема мошенничества, работающая до сих пор:
1.Мошенники собирают на Авито объявления с номерами Билайн (почему именно с Билайн будет написано позже). Затем массово рассылают жертвам СМС с текстом, где обращаются по имени, взятому на Авито и словами «предлагаю обмен с доплатой. Вот фото: netint.ru/ru3». Среди пользователей умных смартфонов, очень много совсем не смарт пользователей, поэтому куча людей, не моргнув нажнет на ссылку. Еще бы, он же на авито разместил объяву, и кто то его имя знает, обмен предлагает. После чего гаснет экран и устанавливается на телефон вирусная программа, которая получает доступ к скрытной рассылке СМС и скрывает СМС от определенных номеров, в частности от Сбербанка и Билайн. Наличие на телефоне программы «Мобильный банк» не требуется. Всё, телефон жертвы заряжен. Теперь наступает этап настроек в личном кабинете Сбербанка.
2.Мобильный банк это подключаемая услуга Сбербанка, дающая возможность клиентам делать настройки в личном кабинете. Например, таких как: подключение автоплатежа на мобильный телефон, перевод денег, оплату телефона и т.д. Внимание, для этого мошенникам не нужно чтобы на телефоне был установлен «мобильный банк». Не нужно знать ни логина, ни пароля, ни временных кодов. Ничего этого не нужно! Зеленый банк об этом уже позаботился. Мало того, клиент может даже не подключать эту услугу и даже может не знать о её существовании! Она по умолчанию подключена к кредитной карте. Может даже написать заявление на отключении услуги «мобильный банк» с карты. Сбербанк отключив услугу с дебетовой карты, оставит услугу «мобильный банк» подключенной к кредитной карте (не дебетовой, например зарплатной, а именной к кредитной карте, с установленным лимитом на определенную сумму, которую он может взять в кредит и потратить). Остается с зараженного телефона отправить на номер 900 Сбербанка СМС с текстом «АВТО 1000». После чего, в кабинете к кредитной карте (именно к кредитной, а не дебетовой) установится Автоплатеж на сотовый номер, с настройкой, пополнять баланс телефона на 1000 руб., при снижении баланса ниже 600 руб. Всё, банк заряжен. В свою очередь банк потом ответит клиенту, мы от Вас получили СМС команду, мы её исполнили. Мало того, мошенникам может улыбнуться зеленая фортуна, и автоплатеж будет списывать с карты деньги сверх установленного лимита, несколько дней подряд. Ну, можно обойтись и лимитом в 3000 руб (пруф http://data.sberbank.ru/bashkortostan/ru/person/dist_services/inner_mbank/?base=beta). и снимать деньги пока лошок не чухнет. Безопасники ничего подозрительного с операциями по кредитке не увидят. Даже если списанная сумма потянет на уголовную 158 статью.
3.Третий этап самый простой. С телефона Билайн отправляются СМС на короткие номера free8464, 7878, 3116, bee900 и тд. В детализации они проходят как «Оплата услуг мобильной коммерции». Тут вообще для мошенников рай. Можно в день до 15000 руб. проводить. Клиенту потом тоже скажут: «Ну Вы лоша-а-ара, у вас мошенники деньги уводили! Несколько лет назад у Вы подключали услугу «запрета на отправку смс на короткие номера», ну Вы же лошара, эта услуга уже давно не рабочая».
4.Заявление в МВД принимается, но, по словам через 30 дней дело закрывается. Профит! Хотя нет. Сомневаюсь, что это прокатит у желающих повторить данную схему, препарировав вирусный apk файл, изменив настройки, чтобы самим получить доступ к вирусу, по одной простой причине. Вряд ли профессиональная служба безопасности Сбербанка не заметит подозрительные движения по карте и никак не отреагирует, а настройки системы будут так к ним благосклонны, что будут разрешать превышать установленные суточные лимиты по автоплатежам. Также и служба безопасности Билайна сразу просечет новых деятелей на своей поляне.
Почему данная схема применима именно к связке Сбербанк-Билайн: «Возможность подключения автоплатежа по выставлению счета оператором связи предполагает наличие соответствующих условий в договоре клиента и оператора связи. В настоящее время подключение автоплатежа по постоплатной схеме доступно только абонентам Билайн.» пруф: http://sberbank.ru/common/img/uploaded/files/pdf/mob_ruk2.pdf Там же: «Через некоторое время на подключаемый абонентский номер придет сообщение от оператора связи. В случае успешной обработки заявки от Банка на подключение услуги, от оператора придет SMS-сообщение, что услуга успешно подключена (Билайн, Теле2 и НСС); либо уведомление, что услуга подключится по истечении периода ожидания отказа (МТС, Мегафон, БайкалВестком)» Эта связка Сбербанк-Билайн даже акцию проводит «Бонус за автоплатеж» (пруф http://www.sberbank.ru/common/img/uploaded/promo/Bonus_za_avtoplatezh_Beeline.pdf). Ну не цинизм?
Еще детали. Вирус скрывает входящие СМС от Билайна и Сбербанка. Но что интересно, в детализации Билайн не отражает входящие СМС от Сбербанка об операциях с картой. Хотя Банк такие СМС делает в обязательном порядке при списаниях с кредитной (не дебетовой) карты. В детализациях Билайна, входящий СМС с вирусом не отражается.
Данная схема успешно работает как минимум с осени прошлого года. По информации от знакомых, работающих в банке, никому деньги не вернули.
Ну вот, я вас предупредил. Теперь защищайте свои кошельки и телефоны как сможете.
Теперь детали моего случая.
Жена в декрете, на карте у неё денег нет, по этой причине и баланс не проверяет. Зашла в сбербанк-онлайн оплатить мобильный и увидела что с кредитной карты с лимитом в 40 тыс. руб. исчезла значительная сумма. Деньги снимались 4 дня. Прекратились, когда на телефон был установлен антивирус. В РОВД заявление подано. В Сбербанк тоже. От Сбербанка пришел ответ, в котором он сообщает, что в первый день было списано 2946 руб на счет сотового телефона и подключен автоплатеж. И что в период четырех дней, всего было списано по автоплатежу 10 000 руб. На самом деле в первые сутки было списано 7946 руб. во вторые сутки 4000 руб. (при официальном лимите на операции 3000 руб. Таким образом, в первые два дня были списания с карты, превышающие суточные лимиты. Всего за 4 дня было списано 16946,00руб. (о чем на руках имеется подписанная сбербанком выписка по карте), а не 12946 руб. как написано в ответе Сбербанка. Т.е. в своем официальном ответе, с присвоенным номером, подписью и синей печатью, Сбербанк уже обманывает с цифрами. На руках имеется заявление которое оформлялось осенью в офисе сбербанка на отключение услуги «Мобильный банк», где указан привязанный к договору номер телефона и номер дебетовой зарплатной карты. Но как я писал выше, «мобильный банк по умолчанию» принудительно привязывается к кредитной карте.
В среду 24 февраля собираюсь обратиться в Прокуратуру, потому что с банка, где сядешь, там и слезешь. Нужны советы и помощь в составлении заявления в Прокуратуру. Как можно возвратить средства из Сбербанка и Билайна. Какие действия можно предпринять. Может кто то тоже пострадал от мошенников. Дело не столько в деньгах, а в принципе. Сколько можно обходить расставленные ловушки, везде пытаются откусить и урвать кусок. Хочу сломать систему, хоть чуть чуть.
При существующей системе двухфакторной авторизации, украсть деньги со счета можно только получив контроль над SMS. Он может быть получен только двумя методами:
— Троян в смартфоне/планшете.
— Мошенический перевыпуск симки через сообщников в офисе оператора.
Заведя для банков отдельную симку в кнопочном телефоне можно застраховаться от обеих вариантов. Троян в кнопочном телефоне исключен, а для того чтобы перевыпустить симку нужно знать номер, и если он только для банков то его никто знать не может.
Неудобно терять деньги со всех счетов с сбере, а ради безопасности можно неудобство перенести…
кроме сотрудников банка, к сожалению ;)
Я не понял тогда — что за идиот и что на что
Зашёл с компа по этой ссылке — а там нет ничего
Ну и забыл конечно
Но дело в том - что и наеб№ть меня не смогли бы :
Во первых у меня нет кредитной карты
Во вторых — на авито объявления всегда размещаю по телефонному номеру — которым не пользуюсь
Ну и в третьих — симка стоит в самом дешёвом кнопочном нокия — где и интернета отродясь не бывает
А что касается вашего принципа — но мой вам совет — не ввязывайтесь ни в какие разборки
Поберегите нервы
И потом — посмотрите на ситуацию с положительной стороны — это небольшая плата за хороший урок
А отомстить кому бы то нм было — всегда успеете
Билайн здесь вообще не причем. Если жена не умеет пользоваться сложными девайсами — купите ей либо кнопочный, либо айфон.
2 правила:
1.Не светить где-попало номер к которому привязан банк(и), для авито (и т.п.) использовать отдельный номер и кнопочный телефон.
2.Не кликать не на какие ссылки в смс ни при каких обстоятельствах вообще никогда.
Бонусное правило:
Не пользоваться серьезно сбером, ибо историй с его мобильным банком тьма, дыры как были в системе так и остались. Греф рулит. На сбербанк вообще если погуглить такое досье получится, что мама не горюй.
а те кто на iOS или Windows в безопасности!?
а вот в ВТБ24 тоже есть но работает параллельно с подтверждением по смс и смысла в криптокалькуляторе я уже не вижу.
Как мне кажется, стоит указать, что при переходе просят установить программу. Иначе это выглядит как новый тип атак ранее не известный в миру.
Спасибо за описание схемы.
Перспектив наказания виновных и возврата денег никаких. Многие знакомые в том году попали со сбером.
уже месяца 3 как поменял свой ведроид на обычный кнопошный телефончик =), думал на месяцок чтоб на НГ задарить себе любимому модную трубу какую-нибудь, но понял как это ох… енно без мессенжеров, соц.сетей, мыла в нем даже жопореза нет, не говоря уже о 3G, LTE ...
А вообще, мошенники всегда будут дыры находить. Тут знакомые недавно рассказывал: маме его позвонили (женщина в возрасте), наплелили что про новый закон от Собянина, нужны данные карты… потом попросили продиктовать подтверждающее СМС. Благо сынок во время телефон у нее забрал, как услышал про это.
Тут мой сын недавно вирус схватил, пришлось до заводских установок сбрасывать все и форматировать. Тормоза были нереальные… Понимаете, ему друг рассказал о программе которая взламывает ВайФай!!! И можно бесплатно пользоваться)))
Пришлось ему объяснять: что бесплатная программа весом в 1 Мб ну ни как ВайФай не взломает. Да и вообще, взломать то его можно, но совсем другие тех.средства нужны.
Естественно говоришь ему: не качай, не устанавливай, не переходи.
Но дети такие, всегда найдут где вляпаться)
у меня в сбере тоже нехорошая история приключилась. кидал деньги на карту а привычка выписку брать. так они заявили что я не клал. пока судом не пригрозил не возвращали.
Сейчас вообще с банками не понятно, бумажные носители убирают , подтверждать документально не хотят. Как говорится становятся легальными мошенниками и дела с ними лучше не иметь и переходить на наличку.
легче с миллиона людей по 50р списать чем искать одного подключенного к сберу
Вот взять к примеру iBank, у них параноидальная система безопасности, есть чему поучиться и что позаимствовать, хотя банк маленький.
А у Сбера армия программистов (как говорит Греф) и йухи пинает.
Кста, у Сбера лимиты по операциям можно устанавливать на карты?
Просто сбербанк самый крупный. Потому больше шансов, что у человека карта сбербанка, поэтому на него больше атак.
Хочешь удобства- смотри, куда пальцем тыкаешь. Боишься или параноик — используй нокиа 3110.
Спасает простой кнопочный телефон за 700 рублей, а для новых безконтактных карт (уже распространены на западе) — металлический контейнер.
1. Кто мешал внимательно прочитать документы, которые подписывали при оформлении карты, и при необходимости изменить набор услуг? Мобильный банк легко можно отключить.
2. На Вашем телефоне включена возможность установки из неизвестных источников? По умолчанию, она в телефонах Android отключена.
А так, согласен, во всем, за исключением градобития и родильной горячки, виноват Сбербанк.
P.S. У меня есть и кредитка Сбербанка и дебетовые карты. Мобильный банк подключен.
P.P.S. Небольшой лайфхак. Если к мобильному банку кредитную карту подключить, как основную, а дебетовые — информационными к этому же контракту, то по дебетовым не возникнет платы за мобильный банк.
1. На работе у жены в госучреждении, перешли на обслуживание в Сбербанк. В заявлении жена поставила галочку, чтобы её не подключали мобильный банк. Кредитную карту к зарплатной дебетовой она не просила делать. Однако ей выдали кредитную карту. И подключили к дебетовой «мобильный банк». Осенью она обратилась в офис сбербанка, для того чтобы у ней отключили платную услугу «мобильный банк» с дебетовой карты. На руках имеется подтверждающий документ. И сказали что «мобильный банк» остался на кредитной карте и эта услуга по ней бесплатна. Т.к.она кредитной картой не пользовалась, она и успокоилась. Срок действия карты должен был истеч в мае. Нужно было заблокировать эту карту.
2. на ее телефоне была подключена установка прорамм из неизвестных источников. Как и миллионов юзеров.
п.с. лайфак полезен. не знал.
1. При получении кредитной карты Ваша супруга подписала заявление на выпуск карты, а также и заявление на подключение мобильного банка. Да, он для кредиток бесплатен. Но, он есть.
2. То, что картой не пользовались, ничего не значит. Более того, даже если срок ее истек, банк просто ее перевыпустит. Для того, чтобы избавиться от кредитки, надо идти в банк. Иначе, очень легко попасть в ситуацию, когда банк начнет списывать с этой же кредитки плату за ее годовое обслуживание.
Так что, если карту еще не сдали и не получили подтверждающий документ, крайне рекомендую это сделать.
Про лайфхак даже большинство сотрудников Сбербанка не знает.
У многих из них подключены отдельно дебетовые карты, отдельно кредитка. Здесь главное сделать картой, с которой списывается плата за мобильный банк, кредитку (По ней, как мы знаем, плата = 0), а остальные — информационными, то есть картами, по которым приходят смс.
Тогда я не пойму, при чем тут вообще Сбербанк и претензии к нему? ведь мошенники выводили деньги, грубо говоря, через Билайн
Сам я на деньги потерянные забил. Я хорошо на всю котлету ОАК в октябре-ноябре покупал, сижу в позе.
дел в том что по сути собственных денег на счету у Сбера не было. И сняты были по сути деньги Сбера. Хотя да, возвращать сбер собирается с клиента. И в случае непогашения, начнут идти проценты за пользования кредитом. Нормально.
хоспадяаааа… это каким оленем нужно быть, что такие вещи в голове рождались?!
Сбербанк зарабатывает по 250-300 млрдов в год.
250 Миллиардов!
Сговор ради жалких копеек в 10-50 тысяч?!
самый маленький офис в месяц на бумагу больше расходует )))
Охереть соотношение! как трейдера не смущает открытие такой позиции с соотношением профит/лосс = 1 / 1000000000 ?!
Есть нечистые на руку сотрудники, но это никакого отношения не имеет к корпоративной политике и уж тем более к сговору с представителями «Большой Тройки».
---
Прям так и вижу — собрались такие Председатели Крупнейшего в России банка и трех крупнейших операторов связи в подвальчике и решают, что бы им такого заебенить, чтоб спиздить со счета 10 лохов целых 100 000 в сумме! при клиентской базе в 100 000 000!
Сто тыщ блеать! Туалетную бумагу в офисах на один день дешевле купить, вот и профит!
---
Газпром наверное по Вашему газ бадяжит, а в колбасу туалетную бумагу добавляют?
детский лепет какой-то
Знаете, господа, тут и дело не в билайне даже. Проблема в вирусе, человек скачивает и вирус выполняет то, что может сделать человек.Образно открывает ваш кошелек и переводит другим.
А вы забыли сказать, что какие то инфоцентры есть подписки, когда с телефона списывают деньги. В доле сами компании Билайн, МТС, Мегафон… Просто вряд ли кто будет разбираться из за 30 р и подавать в суд...
Последний случай был, это 1.5 мес назад, я работал в другом уже банке, не в сбере, но в одном из крупных. Пришел мужик, кредитка у него, говорит деньги списали. Я смотрю по выписке, перевод два раза был, 50 тыс и 25 тыс, операция проходила через тинькофф сервис (оказывается там такая фишка есть перевод с карты на карту (любые банки). Я уточняю, никому не давали вы карту, телефон, он конечно сказал что нет. Но факт что деньги пропали, написали заявление, через 3 недели ответ банка типа «БАнк не несет ответственность за действия совершенные клиентом в сети интернет, вы заключали ДБО, согласились с условиями, совершенная вами операция была подтверждена с помощью системы 3дс секъюрити( это смс подтверждение) В итоге мужик платит сейчас.
В Северо-Западном регионе в 2014 году Сбер выдавал кредитов по миллиарду в день в среднем. физикам. в одном только регионе. миллиард в день. оцени масштабы в сравнении с разовой аферой века на 16 тыр за 4 дня… процент блеать сбер с этого получает ))))))))
Так же я и к Сберу отношусь, ловят каких то хацкеров, ищут и борятся, но руки то откуда растут? Недавно даже через саму платформу МБ СБ для андроида деньги уводили, и опять хацкеры виноваты)) Эта история с смс на 900 уже не первый год длится, ну неужели нельзя было что то придумать чтобы устранить эту брешь в безопасности. Считаю что главные хацкеры в том или ином смысле это сам СБ. Наказать какого нибудь руководителя и программера и лавочка сама прикроется.
усилиями Банка России и МВД удалось предотвратить хищения еще на 500 миллионов.
«Информация еще не доказана, но у нас есть предположения, что кредитные организации используют сейчас этот механизм как для того, чтобы скрыть предыдущие преступления или свои ошибки, так и с целью просто вывода денег из банка», — рассказал Лунтовский.
Регулятор совместно с МВД провели экономический анализ хакерских атак и пришли к выводу, что хакеры получали в лучшем случаев 30% от всех выведенных средств. Об этом на том же форуме рассказал замглавы главного управления безопасности и защиты информации Банка России Артем Сычев. «Выводить деньги, чтобы получать 30%, — это не очень выгодно, а вот организовать атаку на себя и сказать “Вот у меня украли столько денег, и я не могу обслуживать счета своих клиентов” — вполне возможно.», — объяснил Сычев.
Объем выведенных средств на фоне общего оборота банковской системы не выглядит значительным, но недобросовестные банкиры пока только тестируют эту систему, считает Сычев. «Как только банкиры поймут, как получать себе прибыль более весомую, этот инструмент запустится в другое производство», — предупреждает чиновник.
Опрошенные Ъ банкиры считают, что бороться с такими схемами будет непросто. «Отличить подстроенную атаку от реальной практически невозможно, — приводит газета слова банкира, — понять, что атака была совершена по заказу кредитной организации, можно лишь после того, как лицензия банка будет отозвана. Возвращать средства будет уже поздно».
До 15 марта Центробанк представит свои предложения по повышению уровня кибербезопасности, сейчас стандарты его в этой сфере носят рекомендательный характер. Регулятор планирует разработать варианты санкций. «Речь идет о том, что информационная безопасность напрямую влияет на финансовые показатели. Одна атака — и банк в состоянии, когда Центробанк обязан отобрать у него лицензию», — сказал Сычев.
Лунтовский также добавил, что в конце 2015 года три банка, которые ранее подвергались кибератакам, лишились лицензий.
http://www.kommersant.ru/doc/2917808
У меня уточняющий вопрос к вам: антивируса на смартфоне жены не было?
Идёте в билайн пишите заяву о возврате бабла на счет и всё- 100% должны вернуть, а возвращают они всем и всё — потому-что на этом ровным счетом нихуя не теряют :)
"… в самом сберовском приложении пройдись по своим контактам, там сразу видно у кого к номеру карта привязана (логотип сбера справа)"
Если это действительно так, то это вообще пипец.
Деньги как с неё утырить?
Могут действовать более избирательно, достать списки модиьлных телефонов сотрудников богатых организаций, нефтянка и тд. И по этому списку выделить нужные телефоны.
Без копии симок, просто используя социальную инженерию звонить и катать. Это я только на вскидку.
дня четыре назад была рабочей, до сих пор не уверен что троян на пк вычистил
www.facebook.com/sberbank/?fref=ts
vk.com/bankdruzey
Чтобы отключить «Мобильный банк» и пользоваться только Сбербанком-онлайн, достаточно отправить на номер Сбербанка 900 СМС с текстом "БЛОКИРОВКАУСЛУГ".
Проверено мной сегодня.
http://marat-din.livejournal.com/1180.htmlПочему-то ссылка в ЖЖ неоректно корректируется. Вручную можно в ЖЖ найти журнал по marat-din, в нем я буду делится, ходом развития этой истории.
Банк получив на мобильный банк, команду на перевод денег, с карты на которой не было денег, годами по которой не велись никакие действия, срок ее уже истекал, исполнил команду, на перевод 2946 руб на телефон. Что соответствует суточному лимиту на операции «Оплата телефона, зарегистрированного в вашем «Мобильном банке»»- не более 3 000 руб. в сутки". Пруфhttp://data.sberbank.ru/bashkortostan...base=beta).
Самое интересное происходит потом. Сбербанк получив команду на установку максимального автоплатежа 1000 руб на мобильный телефон (почерк мошенников), на фоне массовых мошеннических действий (о чем банк даже вынужден был сообщить в своем предупреждении в соцсетях на своих страницах фейсбук и вконтакте 20.02.16) начинает усиленно давать в долг, кредитуя карту, доведя общую сумму пополнения баланса сотового телефона до 7946 руб за сутки!!!
Превысив свои суточные лимиты больше чем в 2,5 раза!
Клиент – находясь в декретном отпуске, имела на своей зарплатной карте 72 руб. На кредитной карте, которой не пользовалась много лет было 0 руб. Мошенники, по сути, похищали не её собственные денежные средства, а денежные средства Сбербанка.
Сбербанк не смутила активность по карте. Сбербанк продолжил пополнять телефон сверх установленных лимитов и на вторые сутки! Банк пополнял телефон с 8 по 11 февраля, пока случайно не был удален троян с телефона. Уверен на 100 %, Сбербанк бы продолжал исполнять команды автоплатежа, кредитуя карту, пока бы не наступил верхний предел в 40 000 руб. Даже если деньги списывал троян, Сбербанк знал, что у него есть подпись лошары и Сбербанк ничем не рискует.
Если клиент-лох, то Сбербанк -молодец. С надежной системой защиты!
И он всегда предупреждает получателей карт, что мобильный банк это удобно, современно и безопасно.
1 500 000 руб увели у клиента Сбербанка (
www.banki.ru/services/responses/