Как меня вчера "разводили" (предупрежден, значит вооружен)

Сижу на работе, время около 6. Расстроен, на тимвьюере сбой, не могу подключится к торговому компу (со смартфона — прим. моё). 50 минут назад написали, что сбой, 25 минут назад, что нашли причину и исправляют. Боюсь, что до закрытия не успеют (в итоге успели, примерно 18:30 заработал). Звонок на часофон, куда у меня приходят коды от брокера и банка.

— Алло.

— (женский голос) Имя Отчество мое, это Вас беспокоят из банка (мой банк).

— Да.

Приготовился слушать очередное предложение о кредите примерно на размер моего счета под 13% годовых без залогов и поручителей (получаю такие звонки примерно раз в месяц)

— Мы звоним Вам сообщить, что подозреваем, что с Вашей картой происходят мошеннические действия, Вы карту не теряли?

— Нет.

— Она при Вас?

— Да.

— С Вашей карты подана заявка на перевод средств на счет физлица в Сбербанке, заявка подана из Дагестана, Вы ее подавали?

— Нет, не подавал, а уточните какая сумма? (я взволнован и еще ничего не подозреваю).

— 94 тыс. рублей, но мы заблокировали перевод.

— Но мне смс о действиях с картой не приходила.

— Правильно, и не должна была придти, мы же заблокировали перевод и временно Вашу карту, чтобы перевод не состоялся, теперь Вы должны ее заблокировать сами.

— Уточните с какой карты был перевод? (я еще не подозреваю, но карт то у меня три).

— У нас нет информации о картах клиента, мы не клиентский отдел, а отдел контроля. (напрягаюсь, что-то не так).

— Ну а как я заблокирую карту, не зная номера? (косвенно выдаю себя, что карта ни одна, но надо что-то спросить).

— Ну я могу Вам сказать, что Виза. (мимо, девочка, Виза у меня для расчетов в магазинах, ресторанах и прочем, на ней  отродясь больше 20 тысяч не было, до меня начинает доходить)

— Там нет такой суммы.

— Деньги были переведены на карту с Вашего депозита (депозит у меня есть, но он не отражается даже в он-лайн банке  по моему заявлению, все операции с ним можно делать только путем визита в любой офис банка).

— И как это было сделано?

— Я не знаю как, но карту надо заблокировать (становится интересно, что дальше, пришлют СМС и спросят номер?)

— И что я должен сделать? Продиктовать номер из СМС? (сам даю наводящий вопрос).

— Нет, что Вы, этого делать нельзя, мы Вам вышлем несколько сообщений на этот номер, а Вы ответите одной цифрой, номером одного из  перечисленных пунктов. (это что-то новое)

— Да, но у меня кнопочный телефон и он не подключен к интернету, как Вы примете эти сообщения к себе на сервер? (вру про кнопочный телефон, у меня специально китайский часофон, где я даже по правильным цифрам через раз попадаю, только для одностронней связи).

— Ой, тогда я Вас переключу на специалиста, он  Вам поможет с инструкцией. (играет музыка)

— (мужской голос, представляется). У Вас кнопочный телефон? А интернет есть?

— На телефоне нет.  (чистейшая правда, но для часофона).

— А рядом?

— Рядом тоже нет. (вру конечно, просто стало интересно)

— Да, это усложняет дело, но ничего, тоже решаемо. Сейчас я Вам расскажу инструкцию, как это сделать с телефона. Вы должны…

— (перебиваю). А может мне просто перезвонить в банк по официальному телефону и заблокировать карту?

— Ну мы же и звоним с официального телефона, переверните карту и посмотрите цифры.

— Какие цифры? Трехзначный код никому нельзя сообщать.

— Да не код, а цифры телефонов.

(смотрю, телефон действительно похож, но 2 и 3 цифра нули вместо семерок, прокололись ребятки, я может лица и плохо запоминаю, но цифры «на ура»  — это профессиональное).

— Не тот.

— Но Вы же видите, что отличия только в двух цифрах и номера с последними четырьмя только у нашего банка (действительно все контактные номера банка на сайте заканчиваются на эти  4 цифры и отличаются кодами и первыми тремя).

— Но я все же хотел бы позвонить сам.

— Не получится, как только Вы положите трубку, наш робот Вам перезвонит и все придется выяснять по новому, временная блокировка закончится и деньги уйдут. (про себя улыбаюсь: друг, я с этого часофона никуда позвонить не могу, звонить я буду со смартфона, так звони сколько влезет).

— Ну я все же попробую (выключаю разговор и начинаю звонить по телефонам с сайта со смартфона).

Первый же оператор говорит, что номер банку не принадлежит и информацию передаст в службу безопасности, но про карты она ничего сказать не может и переключает на клиентского менеджера. Выясняю у менеджера был ли перевод на 94 тысячи хоть с какой то из моих карт, она говорит, что такой суммы перевода не было, но последним был перевод на 5000 15 марта. Напрягаюсь, перевод на 5000 я делал, но 15 мая. Переспрашиваю:

— Марта?

— Да, марта.

— Девушка, посмотрите внимательно, у меня были переводы и после марта.

— Ой, мая. (отлегло)

— А после 15 мая операции были? (я знаю, что не делал и смс не получал)

— Нет.

— Точно не было?

— Точно.

— Последний вопрос. Если перевод блокируется банком по каким-то причинам, я о таком переводе смс получу?

— На Ваш вопрос может ответить технический специалист, я переключаю.

— (мужской голос, представляется) Чем я могу Вам помочь?

— (повторяю вопрос).

— Если Вы совершаете платеж или перевод через он-лайн банк или на интернет-сайте, то сначала Вам придет смс с кодом подтверждения, после его ввода, смс о блокировке суммы на счете и потом смс об исполнении, если через банкомат, то только две последних смс и только при снятии наличных в банкомате или кассе банка Вы получаете одну смс (все точно, так и было при всех моих операциях с картами).

— Спасибо, до свидания.

Со спокойным сердцем захожу в он-лайн банк и вижу, что все цифры на картах, как были, так и остались с 15 мая.

Пока разговаривал с банком, часофон надрывался звонком.  Номер не тот, что первый, а другой, отличающийся от официального на сайте только кодом. Ну, думаю, постебемся. Нажимаю кнопку ответить и …часофон «умирает», кончился заряд. Срочно ставлю на зарядку и получаю смс, что тот же абонент мне звонил еще три раза. Звоню с городского по этому номеру, интересно же, что ответят. Увы, «неправильно набран номер».  А часофон уже молчит. Звоню с городского по первому: три пи-пи-пи и вызов прерывается. Не судьба.

Выводы. 
1. Утечка из банка. Симка числится за сыном и на ней полный запрет на действия без присутствия владельца. Имена-отчества у нас с сыном разные. Понятно, что его отчество от моего имени, но имя моего отца другое. 
2. Утечка неполная, номер карты мошенники не знали. С Визой могли проколоться, но действовали согласно статистике: большинство карт банка визовские. 
3. С депозитом чистая импровизация в ответ на возражение. Но удачная. Действительно смутили, так как при открытии депозита были подписаны документы, что все действия по нему производятся только в офисах, никаких удаленок и банкоматов. 
4. Расчёт, вероятнее всего, на то, что в пункте меню присылаемого сообщения скрыта фишинговая ссылка, а-ля вход в он-лайн банк, кнопочный телефон «сломал» сценарий и пошли «по запасному пути», имитируя работу банка с обращениями. 
5. Отсутствие интернета вообще, вероятнее всего, должно было привести к диктовке цифр из СМС, но надо было «заболтать клиента». 
6. Перезванивающий робот есть и даже учитывается внимательность клиента. Позвонить с телефона в банк я бы не смог из-за назойливых входящих.