Киберпреступники или воры в банке? У женщины на Харьковщине вывели со счета почти 132 тыс. грн

Светлана Слонь рассказала Фокусу, что 23 декабря пополнила карту через терминал на 131,5 тысячи гривен в единственном отделении "Райффайзен Банка" в городе Первомайский Харьковской области. Спустя несколько минут после зачисления денег их перевели на счет мужчины 2004 года рождения, который является клиентом "Приватбанка".

"Я зашла в личный кабинет онлайн приложения "Райффайзена". Вижу, что осталось 7 тысяч. А 125 тысяч ушло. Спрашиваю у девочек (работников банка, — ред.), как так случилось? Они говорят — звоните на горячую линию. Через минуту уходит вторая сумма — 6,5 тысячи. Такое впечатление, что кто-то еще находился в этот момент со мной в личном кабинете. Без всяких звонков и подтверждений. Осталось в итоге у меня 500 гривен", — рассказала Светлана Фокусу.

Банк заблокировал счета Светланы, в онлайн-приложении "Райффайзена" женщина не видела попытки входа посторонних лиц. Она обращалась в отделение банка, чтобы заблокировать поступление средств на другой счет, но сотрудники не смогли ей помочь.

"Странная ситуация. Ведь никто не знал, в какой день я буду вносить на карту деньги через терминал. Такое впечатление, что кто-то заранее следил за приходом денег на счет. Откуда мошенники могли знать в какой день я пополню счет? Вряд ли они сидели сутками в моем личном кабинете", — задает вопрос Светлана.

К слову, в приложениях многих украинских банков есть функция автоматического выхода из личного кабинета, если человек долгое время не проводит в нем действий.

Как уходили деньги со счета "Райффайзен Банка"?

В выписке по движению средств по счету, которую Светлана предоставила Фокусу, видно, что 23 декабря зачисления на счет проходили в 6 этапов. Всего на счету было 132 тысячи гривен.

Платежные квитанции, предоставленные банком, свидетельствуют, что деньги ушли некоему Александру К.

Проблема со счетом — что говорят в "Райффайзен Банке"?

Светлана 5 января обратилась в центральный офис "Райффайзен Банка" в Киеве с просьбой прояснить ситуацию. Финучреждение заявило о проверке, в ходе которой выяснилось, что вход с нового устройства в приложение "Райффайзен онлайн" выполнили 22 декабря 2022 года в 16:15.

"Когда на счету появились деньги их перевели на счет "Приватбанка". Вход в приложение подтверждался одноразовым паролем, который отправляли на ваш финансовый номер в SMS", — отмечается в ответе финучреждения на письмо.

Банк обещает содействие в решении проблемы в правовом поле.

"Позиция банка, изложенная в письме-ответе с отказом в возврате средств, остается неизменной. Установление личности, которая, по мнению заявителя, совершила противоправные действия — в компетенции правоохранительных органов", — отметили специалисты.

"Райффайзен Банк" пообещал всячески содействовать решению вопроса в правовом поле, в том числе осуществлять коммуникации по запросу правоохранителей.

В ответе от 6 января 2023 года говорится, что сотрудники "Райффайзен Банка" инициировали обжалование операции по переводу денег. Банк заявил об успешном переводе средств на счет Александра К.

"Основная функция торговца — перевод средств — успешно выполнена. Учитывая вышеприведенное, а также согласно правилам Visa International, продолжение обжалования и возврат средств на ваш карточный счет за счет банка-эквайера невозможен", — заключили в финучреждении.

Изначально Светлана излагала требования в переписке с Viber-ботом "Райффайзен Банка". Спорную транзакцию зарегистрировали под номером 452664. Пароль на вход в приложение был отправлен 23 декабря в 11:32, после перевода 125 тысяч гривен со счета.

Исчезновение денег с карты "Райффайзен Банка" — реакция полиции

После пропажи денег Светлана написала заявления в полицию и собирается обращаться в суд.

В Первомайском отделении полиции в ответ на обращение Светланы открыли уголовное дело по статье о мошенничестве и предложили отправить его следователям в Винницкую область. Согласно выписке, именно там проживает Александр К. 2004 года рождения.

Светлана хочет написать новое заявление о халатном отношении сотрудников "Райффайзен Банка".

Фокус обратился в пресс-службу "Райффайзен Банка" с просьбой прокомментировать инцидент. К моменту публикации материала прошло более недели, но банк так и не ответил.

Как не стать жертвой мошенников — советы украинцам от специалистов

Член группы советников Европола по финансовым сервисам Европейского центра борьбы с киберпреступностью Олеся Данильченко в комментарии Фокусу выразила удивление, каким образом другой человек мог сразу перевести деньги, если не были зафиксированы входы с других устройств в онлайн-банкинг.

"Если предположить, что зашли с других устройств, значит, злоумышленники узнали логин, пароль и одноразовый пароль для подтверждения входа. Такая ситуация возможна, если жертва мошенничества оставила данные на фишинговом сайте, который визуально имитировал настоящий онлайн-банкинг. Когда она вводила данные на фишинговом сайте, злоумышленники синхронно вводили эти же данные в настоящем приложении", — отмечает эксперт.

Данильченко подчеркивает, что для подтверждения этой гипотезы недостаточно информации. Светлана должна обратиться в правоохранительные органы для всестороннего расследования и анализа характера использования платежной карты, входов в онлайн-банкинг и истории браузера. Необходимо проверить историю браузера на всех устройствах, чтобы понять, по каким ссылкам она переходила.

В случае использования мошеннического софта его должны были заранее установить на устройство потерпевшей, с ее осознанным или неосознанным участием. Олеся Данильченко уверяет, что клиент, ставший жертвой мошенничества, в первую очередь думает о вине банковских сотрудников.

"И о том, что банк должен вернуть средства. По результатам расследований обычно такие гипотезы не подтверждаются. Как правило, подразделение безопасности коммерческого банка очень заинтересовано в выявлении ненадежных сотрудников, они бы с большим энтузиазмом взялись за такое расследование, как и полиция", — рассказывает эксперт.

Главная рекомендация специалиста украинцам после анализа произошедшего со Светланой Слонь — всегда проверять сайты, которые требуют оставить личные данные, и не переходить по незнакомым ссылкам в браузере и мессенджерах.

Данильченко советует не устанавливать софт на устройства по указанию или под влиянием незнакомых людей.

По словам эксперта по кибербезопасности Константина Корсуна, в подобных случаях главный вопрос — не виноват ли сам заявитель?

"Здесь спектр версий широк: от "сам украл" до "дал кому-то пароль". Вторая самая популярная версия — сообщник мошенника в банке. Похищение средств в большинстве случаев происходит с участием банковского работника. И это дело полиции — его обнаружить. Также дело полиции подтвердить или опровергнуть, приходили ли СМС по платежам (125 и 6,5 тысячи). Это делается элементарно — отправляется запрос к мобильному оператору. В некоторых случаях у полиции есть собственный доступ к такой информации", — рассказывает Фокусу Корсун.

Светлана Слонь передала Фокусу выписку звонков и отправок SMS-сообщений, которую для нее сделал мобильный оператор Vodafone. Судя по документу, в момент списания денег банк не отправлял сообщений с попыткой верификации входа в онлайн-приложение. Клиент получал от "Райффайзен Банка" сообщения в 11:46 и в 12:01. Исходя из данных в выписке по движению средств по счету, 125 тысяч гривен ушли в 11:27, а 6,5 тысяч гривен — в 11:33.

Константин Корсун не исключил ошибок в банковском приложении. Сейчас их производят многие IT-компании и почти никто глубоко не прорабатывает вопросы безопасности.

"Мошенники быстро находят уязвимости и вместе с сообщниками в банке (чаще всего это операционисты или менеджеры нижнего звена) используют их для похищения денег. От подобных случаев никто не застрахован. Не помешают обычные правила персональной кибер-гигиены: не заходить на сторонние сайты, использовать уникальные сложные пароли, шифрованные мессенджеры, регулярно обновлять приложения и операционную систему", — делает выводы Корсун.

Консультант рынка телекоммуникаций Роман Химич в общении с Фокусом вспомнил схожую историю, которая приключилась с его женой в 2013 году. В одном из банков с ее карточного счета украли 8 тысяч гривен, использовав дубликат карты. Дубликат можно сделать с помощью скиммера — устройства, которое монтируется на банкомат.

"Инсайдеры мне потом рассказали о раскрытии деятельности преступной группы, состоявшей из сотрудников одного из отделений банка. Спустя две недели банк признал отсутствие вины клиентки и вернул все деньги. В нашем случае (со Светланой Слонь) вероятность участия в схеме сотрудников банка не равна нулю. Время от времени такие вещи случаются", — отмечает консультант.

Химич напомнил ситуацию в городе Луцк в 2018 году, когда "ПриватБанк" признал кражу денег у 18 человек из-за преступных действий банковских работников.

В кризисные времена, как объяснил специалист, становится намного тяжелее "выбить" у финансовых учреждений признание вины за утрату средств. Нацбанк Украины, по мнению Химича, должен обязать коммерческие банки поддерживать весь спектр механизмов аутентификации клиентов, включая наиболее защищенные.

Взлом мобильного номера — мошенники могли перенастроить получение SMS

У того, кто инициировал списание денег со счета Светланы Слонь, мог быть доступ к финансовому номеру клиента, говорит Фокусу руководитель департамента платежных карт одного из украинских банков.

"С одной стороны, это отвечает на вопрос, как можно было так быстро узнать о поступлении средств. Имея доступ к финансовому номеру, инициатор платежа видел уведомления о поступлении средств на счет. Второй момент — доступ к клиент-банку или мобильному приложению. Это позволило инициировать операцию, а доступ к финансовому номеру позволил подтвердить ее проведение", — комментирует собеседник издания.

По его словам, маловероятно, что банк не использовал дополнительный способ проверки при исходящем платеже на столь крупную сумму. Если эта гипотеза верна, остается ключевой вопрос — как кто-то мог получить доступ к финансовому номеру и системе клиент-банк.

"Но ответов на него может быть много, и почти все они, скорее всего, связаны с владельцем аккаунта. Тут гораздо сложнее", — подчеркивает глава департамента.

Глава Украинской межбанковской ассоциации членов платежных систем ЕМА Александр Карпов заявил Фокусу, что банк не заинтересован красть у клиента деньги.

"Если в банке находят менеджера, который таким занимается, он сядет в тюрьму. Сейчас все дорожат работой и такими вещами никто заниматься не будет. Искать надо исходя из практических причин. Один из вариантов — клиентке предварительно звонили, писали или она получала SMS о качестве мобильной связи. Далее с ней были коммуникации и она выдала одноразовый пароль, который, как говорили мошенники, нужен якобы для улучшения качества связи", — сказал специалист.

Карпов акцентировал внимание, что на самом деле это был пароль к ее мобильному кабинету у оператора. Мошенники могли перенастроить получение SMS, входили в кабинет и видели, какие сообщения приходили, в том числе — из банка.

Злоумышленники могли перехватить управление личным кабинетом Светланы в интернет-банкинге и получить пароль для входа через SMS. Клиент может не увидеть отсылку сообщения оператором на номер мошенника, если стоит переадресация.

"Мошенник может откатить переадресацию и клиент продолжит получать сообщения как раньше, не догадываясь о вскрытии его мобильного номера и банковского приложения. Далее взломщик будет заглядывать в интернет-банкинг и попытается настроить получения push-уведомлений", — рассказывает эксперт.

По словам Карпова, когда клиент вносит деньги через терминал или в кассе банка, мошенник получает push-уведомление или SMS о приходе средств. Имея доступ к мобильному кабинету он переводит деньги себе на карту.

Для решения вопроса, как отмечает эксперт, нужно подавать заявления в киберполицию и банк.

"Если идет речь об операциях с карты на карту и клиент среагировал через 10 минут, то шансов больше, а если завтра — шансов практически никаких", — добавил глава ассоциации.

Верховная Рада Украины 12 января 2023 года приняла законопроект №4366, вносящий изменения в статью 89 закона "О платежных услугах". В соответствии с изменениями, у банка-эмитента (клиентского банка) и банка-эквайера (куда деньги ушли) появляется ряд обязательств.

"Если клиент пожаловался в банк-эмитент, то он должен известить об этом банк-эквайер, у которого есть две опции — он может на 30 дней деньги заблокировать или в течение 60 дней не зачислять или иным способом не допускать расходных операций. Кроме того, 55-я статья закона (о платежных услугах) обязывает банк-эквайер и банк-эмитент проводить платежный мониторинг. Закон обязывает всех участников рынка платежных услуг участвовать в информационном обмене — сообщать друг другу о неправомерных операциях и совершавших их субъектах, чтобы такие операции или приостановить, или прекратить", — поясняет Карпов.

В истории со Светланой Слонь сотрудники "Райффайзен Банка" должны были обратиться в банк-эквайер (в нашем случае — "ПриватБанк").

"Там должны были эту сумму заблокировать, если бы успели. Если бы не успели, они могли бы дождаться любых других поступлений на счет мошенника и заблокировать средства на этом этапе. Внутреннее расследование банка-эквайера должно привести к тому, что с 99% вероятности операцию признают неправомерной. После этого у банка-эквайера наступает обязательство — в течение 10 дней вернуть деньги банку-эмитенту, который зачислит их на счет клиента", — комментирует Карпов.

Законопроект №4366 30 января был подписан президентом Украины Владимиром Зеленским. В ближайший месяц, по прогнозам Карпова, изменения заработают в полном объеме.

Фокус 2 февраля писал о взломе почты, Google-диска аккаунта в "ПриватБанке" и в мессенджерах Viber и Telegram жителя Вышгорода Киевской области Ростислава Переведенцева. Парень нашел рекламу в российской соцсети "ВКонтакте" и перешел по ссылке.

Кроме этого Фокус рассказывал историю киевлянки, у которой похитили мобильный телефон. Мошенники получили доступ к приложению "Дія", где были электронные документы женщины, и подали заявку на оформление кредита.

Киберэксперты в январе прошлого года рассказывали Фокусу о тактике злоумышленников под названием SIM-свопинг, подмены SIM-карты. Такое случается из-за того, что в Украине "симки" не были защищены. Узнав ваш номер телефона злоумышленник может просто позвонить оператору мобильной связи, убедить его, что он — это вы и что ему необходима такая услуга, как перевыпуск SIM-карты. Впрочем, эксперты рассказывали Фокусу, что можно снизить риск оказаться в подобной ситуации, привязав SIM-карту к паспорту. Сделать это можного удаленно с помощью электронной цифровой подписи или в магазинах мобильных операторов.