Кража денег с банковских карт при помощи смс-банкинга как СИСТЕМА

Мне тоже кажется, что это какой-то вирус. Или телефонный, связанный с номером 900, либо прямо в системе сбербанка.
Проблема в том, что банк огромный, каждый сотрудик чувствует себя песчинкой, спокойно получает зарплату пару раз в месяц и вообще никто не парится, что там у клиентов.
Им реально фиолетово, что у людей пропадают деньги.

Лично не пострадал.Но.Периодически приходят смс.То попытка восстановить пароль,то регистрация мобильных приложений.При звонке в банк предлагают заблокировать карту,но карту сую в банкоматы крайне редко,да и про скимминг в нашем 70 тысячном городе не слышал.Если считать что виноват вирус,то есть еще карты барсика,хомяка,тинькова,так ни разу ни одной подозрительной смс-ки.Смена пароля и логина не помогли,так и приходят.Карта зарплатная,поэтому сразу забираю С2С.А вклады в настройках сделал невидимыми для приложений и запретил кроме андроида.

Цитата
slonopat пишет: А может просто не пользоваться этим смс-банкингом от Сбера? Выключить его в СБОЛ

Смс-банкинг в Сбере (называется "Мобильный банк") можно выключить только по письменному заявлению в офисе банка. При этом согласно договору будет недоступен и интернет-банк, хотя в каких-то регионах возможны исключения.

Цитата
ivimaka пишет: У кого какие мысли есть по данной теме?

Мысли простые. Установить по карте лимит на совершение безналичных расходных операций в календарный месяц. Использовать для Мобильного банка простой телефон.

Всем, у кого Мобильный банк подключен к Андроид-смартфонам, я предлагаю прислушаться к мнению Ибиря. Замените телефон для смс-банкинга на простой кнопочный и заведите себе симку специально для Мобильного банка. Ибирь прав. Это всё из-за Андроида. Это уже какая ни есть операционная система (аналог Винды, Линукса) для смартфона. Если она закачивается, устанавливается, в ней есть приложения, то одно из приложений запросто может быть вирусным. Оно будет слать смс-ки с запросами в банк на снятие денег, присылать в банк разовые пароли, которые вы якобы получили, подтверждать операцию по снятию средств, а потом эти смс-ки стирать, или просто не записывать. И делать она будет это всё в фоновом режиме. И узнаете вы об этом совсем случайно. А закачаете вы себе его (или уже закачали) вместе с какой нибудь прикольной игрушкой, ну или откроете какое-нибудь рекламное предложение.

Это проблема перевести зарплату на карту другого банка? (это не сарказм) Мне в некоторых банках давали распечатку, мол отнесите в бухгалтерию и тип-топ, но у нас котлетами, а вернее тефтельками, отдают, иначе подключил бы Тинькофф.
Насколько я понимаю эти деньги так же как и вклады застрахованы АСВ, т.е. риски минимальны.
Возможно такие меры (отток зарплатников, коих легион) заставят Сбер повернуться к клиентам передом. Да и жуликам будет сложней, настраивать СИСТЕМУ под мелкие банки, с учётом рисков, может стать нерентабельно.

Цитата

Ибирь пишет: Я думаю, что бесполезно. РПН ответит, что расследованием краж не занимается, как и установлением требований безопасности для электронных средств платежа (смс-, интернет-, телефон-банкинга, платежных карт и инфраструктуры их приема) - последним должен заниматься ЦБ. Вот оштрафовать банк за включение в договор ущемляющих права потребителя условий (например, что все риски дистанционного обслуживания принимает на себя клиент) - это пожалуйста.

Так я и не предлагаю просить РПН расследовать кражи! Ему нужно именно массово отправлять обращения по случаям, когда нарушения прав потребителя в сфере оказания услуг приводят к краже с пластиковых карт. Например, сотрудник Сбербанка при подключении Мобильного банка скрывает информацию, что клиенту подключается электроная ПС. Он говорит, что данная услуга подключается для смс-информирования. Особенно этот номер хорошо проходит, когда бюджетная организация массово подключается к зарплатному проекту Сбербанка. Я проводил небольшой устный опрос в двух небольших бюджетных организациях (д/с и библиотека) с одним единственным вопрсом: "Для чего ВАМ ПОДКЛЮЧИЛИ Мобильный банк?" Часть ответила, что не подключила МБ, потому что им ЖАЛКО денег на обслуживание смс. Какие там денежные операции через телефон! Другие сказали, что они решили потратить деньги на смс исключительно для того, что бы знать, когда придёт зарплата. То есть, основная масса бюджетников, особенно малооплачиваемых, даже и не знают какую опасную штуку они носят с собой в кармане - их смартфон. Они считают, что их деньги надёжно лежат за каменными стенами банка и удивятся только тогда, когда придут за наличкой в банкомат, а их там не будет. Я же не зря предлагаю рассматривать это как СИСТЕМУ. В данном случае, как систематическое непредоставление Сбербанком информации или предоставление недостоверной/противоречивой информации об его услуге. Сбербанк массово обслуживает бюджетные организации и массово тиражирует это нарушение. Я предлагаю жаловаться в Роспотребнадзор не на то, что у меня украли деньги с карточки, а на то, что в результате нарушения прав потребителя на достоверную и полную информации о предоставляемой услуге я потерпел материальный ущерб, который банк мне обязан возместить. Я думаю здесь на форуме найдется не один человек, который потерпел материальный ущерб именно из-за отсутствия у него достоверной информации о предоставляемой услуге.

Цитата

ivimaka пишет: В данном случае, как систематическое непредоставление Сбербанком информации или предоставление недостоверной/противоречивой информации об его услуге. Сбербанк массово обслуживает бюджетные организации и массово тиражирует это нарушение. Я предлагаю жаловаться в Роспотребнадзор не на то, что у меня украли деньги с карточки, а на то, что в результате нарушения прав потребителя на достоверную и полную информации о предоставляемой услуге

Видите ли, Закон "О защите прав потребителей" обязывает исполнителя предоставлять информацию об услуге в доступной и наглядной, т.е. письменной, форме (ст. 8). Вся необходимая информация находится на сайте Сбербанка именно в такой форме (договор, руководство по услуге, памятка держателя карты, памятка по безопасности, отдельный раздел сайта по мерам безопасности, ответы на часто задаваемые вопросы). Например, "Меры безопасности при использовании Мобильного банка". Вопрос, захотят ли ее читать, даже если всю эту информацию распечатать и выдать клиенту.
А то, что рядовые сотрудники банка сами плохо понимают возможности и опасности предоставляемых банком услуг, - это скорее бич некомпетентности, чем сознательное сокрытие информации от клиентов.

Цитата
Ибирь пишет: А то, что рядовые сотрудники банка сами плохо понимают возможности и опасности предоставляемых банком услуг, - это скорее бич некомпетентности, чем сознательное сокрытие информации от клиентов.

Так в том-то всё и дело, что это сотрудники СИСТЕМООБРАЗУЕЩЕГО банка. Сбербанк отвечает за свои инструкции, предписывающие его сотрудникам делать то-то и то-то. И если до основной массы клиентов Сбербанка (бюджетников, пенсионеров и т.п., то есть в тех случаях, когда Сбербанк по умолчанию становится агентом по расчетам) не доводится суть услуги того же "Мобильного банка" при её подключении, то виноват в этом Сбербанк. И вся беда в том, что это стало СИСТЕМОЙ и доказать это пратически не возможно. Только массовые жалобы на небезопасную услугу могут побудить Роспотребнадзор предпринять какие-то действия по её видоизменению либо запрету. Приведу ещё пример, когда происходит нарушение, которое также тиражируется Сбербанком. И по моему здесь нарушаются не только инструкции банка, но и сам принцип публичной оферты. Особенно это касается выпуска кредитной карты. Очень часто сотрудник банка работает, так сказать "на выезде", то есть приходит в бюджетную организацию и предлагает кредитные карты. Может в рамках договора по зарплатной карте, а может отдельным договором, я так и не смог понять. Потому что у сотрудников бюджетной организации, где я проводил опрос, у людей на руках реально не осталось никаких документов! После всей процедуры оформления кредитной карты, о которой я скажу ниже, народу выдали закрытые конверты с ПИН-кодами и сами карты. ВСЁ! Причём карты уже подключенные к Мобильному банку! Откроем сайт Сбербанка и прочитаем: "Подключите услугу «Мобильный банк» в любом банкомате, платежном терминале или в отделении Сбербанка". Где здесь хоть слово сказано, что Мобильный банк подключается при помощи "ходока"? Юристы, поправте меня, если я не прав. А я писал в предыдущем посте, что людей не предупреждают, что их подключают не только к услуге информирования, но и к услуге расчётной. А как происходит процедура оформления договора на кредитную карту?! "Я поставила галочки в каких-то документах на кредитную карту. (Это, наверное, заявление, но мы об этом так и не узнаем, копию же не оставляют клиенту), потом он (сотрудник банка) ещё раз пришёл и принёс карту и конверты с ПИН-кодами." - это из ответов работника бюджетной организации на мои вопросы. Договор по КРЕДИТНОЙ карте тоже клиентам никто не оставил. А в суде представитель Сбера скажет, что у них всё в порядке и предоставит подписанные бумаги. Где здесь публичная оферта, которая позволяет мне осознано принять решение о КРЕДИТЕ, когда я СПЕЦИАЛЬНО прихожу в офис Сбера или захожу на его сайт и смотрю условия кредитования? Ведь в бюджетной организации, куда пришёл "ходок" от банка нет ВСЕЙ информации, необходимой потребителю для принятия решения, и это уже больше похоже на принуждение к договору. Повторюсь, это - не единичный случай, это - СИСТЕМА, это ТИРАЖИРОВАНИЕ нарушения. Как его доказать? Только зафиксировав путём отправки жалобы. Я предлагаю в Роспотребнадзор.

Писал кто нибудь в роспотребнадзор? Можете дать образец заявления? Предлгаю тем у кого украли деньги через мобильный банк объедениться и подать коллективный иск в суд и коллективную жалобу в роспотребнадзор. Сегодня прочитала в интернете, что функцию легкий платеж можно отключить(это когда деньги смсками переводят) а сотрудники сбербанка мне не смогли дать информацию как это сделать!!! Поражает как непрофессионально работает их служба безопасности да и грамотность сотрудников которые ничего не знают.

Звонила сейчас на горячую линию мне сказали, что нельзя легкий платеж отключить, только полностью мобильный банк. Т.е. если отправить ноль на номер 900 отключиться мобильный банк. Где правда? Я хочу только смс информирование получать, без возможностей перевода денег смсками

Спасибо! Удивительно что даже на горячей линии этого не знают Предложили мне обращение на эту тему написать.

Цитата
ivimaka пишет: А там, глядишь и родится какая-то коллективная мысль - решение по выходу из создавшейся ситуации. Прошу! У кого какие мысли есть по данной теме?

Я как-то был на конференции по it безопасности. Там эта проблема обсуждалась. Так вот безопасность - это как беременна. Либо она есть, либо ее нет. Нельзя вестись на ЛАПШУ и ЛОЖЬ банков, что тот или иной сервис или услуга делает что-то более безопасным. Так не бывает. Либо оно небезопасно, либо безопасно. Поэтому либо этот сервис делает то или иное действие безопасным либо нет.

Так вот. Основной принцип безопасности в IT просто до безумия.

Все мы знаем, что взломать и хакнуть можно "что угодно". Чаще всего это делается через вирусы. Но случаев, когда злоумышленники пасут именно вас и целенаправленно взламывают именно ваши системы безопасности крайне малы, если вы конечно не миллионер долларовый. Потому что это гораздо сложнее, чем найти лоха. Обычно хаккеры скопом рассылают вируснаяк на лоха. И кто ссылку открыл, программу установил или запустил - тот и попался.

Так вот классический принцип IT безопасности гласит, что случайно хакнуть 2 нужных устройства гораздо сложнее чем одно.

Это как составной ключ, который работает только, когда обе половинки ключа соединяются вместе. Не должно быть достаточно доступа к одному устройству, [U]чтобы можно было платить.[/U]

Например, если платеж подтверждается смс по телефону, нужно просто добавить еще одно подтверждение по email и никогда не пользоваться этим email с телефона. А пользоваться им только с компьютера или второго телефона. Таким образом, хаккеру придется дождаться когда он случайным образом заразит и компьютер и телефон. А это архисложная задача.

Поэтому путь только один - ТРЕБОВАТЬ ДВУХФАКТОРНУЮ, ТРЕХФАКТОРУЮ, ЧЕРЫТЕХФАКТОРНУЮ и т.д. идентификацию при совершении тех или иных действия связанных с движением денежных средств по счету. И ставить лимиты.

А как минимум ДВУХВАКТОРНАЯ идентификация при совершении платежа должна быть закреплена законодательно. Это уже требование времени

Есть даже судебное решение (ссылка) в аппеляции, где платежи по банковским картам только по их реквизитам (без введения pin кода) признаются судом услугой ненадлежащего качества с т.з. безопасности! Что вообще по сути беспредел с т.з. безопасности - платеж без идентификации клиента!

А тот же пин код, это ОДНОФАКТОРНАЯ идентификация. Нужно добавить к нему еще один ФАКТОР в виде смс подтверждения или email подтверждения на выбор клиента. И тогда платеж будет подтверждаться ДВУХФАКТОРНОЙ идентификацией. И это будет очень надежно. Ведь смартфоны есть уже у всех.

Пока законодательно суды только признают платежи по тем же картам без ввода пин-кода услугой ненадлежащего качества с т.з. безопасности, признавая фактически, что использование банковских карт просто опасно для денег на счету в соответствии с нашим законодательством, мы как клиенты может только одно:

ВЫБИРАТЬ ТЕ БАНКИ и пользоваться только теми услугами банков, где есть МИНИМУМ двухвактораня идентификация клиента при совершении платежа или перевода денег. И делать так, чтобы каждый из этих факторов использовался на отдельном устройстве (два смартфона, компьютер+смартфон и т.д.). Это существенно повысит уровень безопасности и создаст защиту от колоссального количества видов мошенничеств. Сейчас смартфон стоит 2000 рублей. Некоторые операторы предоставляют 64кб/с скорость интернета бесплатно. Этого хватит для подтверждения платежа. В общем - сейчас это уже ничего не стоит.

Но многие банки отказывают предоставлять ДВУХВАКТОРНУЮ идентификацию. Потому что им видите ли лень ее сделать. Поэтому выбирайте просто нормальные банки, которые заботятся о безопасности платежей и используйте только двухфакторную или более идентификацию. И со временем рынок все расставит на свои места. Банки, которые не собираются защищать деньги клиентов - потеряют своих клиентов.