Уязвимость для клиентов Приватбанка
Вчера моя знакомая чуть не лишилась всех денег с карточки попавшись на мошеннический развод, который реализуется благодаря стараниям приватбанка, а именно услуги банкоматов «Операции без карты»
В общем ей позвонили с засекреченного номера и представились сотрудниками службы безопасности Приватбанка. Объяснили что они проводят усиление безопасности, и им нужно сообщить пин код карточки, а затем они заменят пин код на новый.
По неосторожности она сказала им свой пин, а затем ей действительно пришла смска с номере 10060 (это номер с которого приходят все SMS от приватбанка) в которой был якобы новый пин код.
На самом деле смска содержала временный пин для доступа к банкомату по услуге «Операции без карты».
Она сказала им и этот номер, но только потому что на студенческой карточке было полторы гривны, злоумышленникам не удалось поживиться.
Конечно сообщать пин код и код из смс было ошибкой, но меня возмутило то что Приват банк ничуть не смущает эта уязвимость.
Мы решили связаться с техподдержкой через Приват24:
- Здравствуйте. Мне вчера звонили со скрытого номера и представились сотрудниками службы безопасности приватбанка, я им сообщила пин код. Это действительно были ваши сотрудники.
- Михаил: Простите, пожалуйста, за ожидание! сотрудники ПриватБанка не звонят со скрытых номеров, Пин код никому не нужно сообщать
- что мне теперь нужно сделать чтобы востановить безопасность моих карт
- Михаил: Рекомендую Вам сменить пин код по Вашей карте , или заблокировать и перевыпустить карту
- можно ли сменить пин код через Приват 24 или банкомат?
- Михаил: Для смены и доставки ПИН-кода необходимо отправить смс на номер 10060 с текстом PIN+**** где **** - последние 4 цифры номера карты. Либо Вы можете сменить пин код в любом удобном отделении без ограничений, оплата смс по тарифам оператора
- а откуда злоумышленники узнали мой номер телефона?
- Михаил: Если Вы хотите сообщить нам о мошенничестве или злоупотреблениях, то заполните, пожалуйста, данную форму. по ссылке https://spreadsheets.google.com/viewform?formkey=dHJqT2tmMjhWX0x0WW9oRnJTMDF2LXc6MQ В случае, если у Вас возникала проблема с отправкой сообщения при помощи данной формы, Вы можете отправить письмо по адресу Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript , позвонить по телефону +38 (056) 716 52 52 (круглосуточный автоответчик), обратится в Skype (Skype контакт "fraudline") или отправить СМС на номер 092 302 07 17 для обратной связи
И это все!!! Отправили нас на какую-то форму в гугл-документах, которую даже заполнить невозможно.
Пин коды на карты мы уже поменяли, и "лекцию" на счет безопасности я ей прочитал.
Но вопрос откуда номера у мошенников, остается открытым, учитывая то, что знакомая не занимается продажами или размещением объявлений в интернете, ее номер не должен был светиться, можно предположить утечку номеров из самого банка.
Скорее всего, даже если утечка и была, банк не будет распространять эту информацию, ради репутации.
Но такое безразличие довольно странно.
Я не хочу рассуждать на тему того что береженого, Бог бережет, и нужно грамотно относиться к пин кодам и карточкам.
Но раз люди ведутся, а люди ведутся (посмотрите Яндекс.Новости) то банк обязан защищать своих клиентов. Многие люди даже не в курсе что такая возможность, как снять деньги без карты существуют, и могут не понимать опасности сказать «то что пришло по смс» «сотруднику», ведь карта же в безопасности. Да и многие, я думаю, помнят процедуру активации новой карточки, когда какая ни будь милая сотрудница, в отделении, при выдаче карты попросила сообщить ей код для активации карты.
Создание услуги операций без карточки конечно прогрессивно, но лимит в 2000 грн, мне кажется велик, ведь для кого-то это может вся пенсия или зарплата. Такая ситуация только усиливает недоверие клиентов которые вместо того чтобы использовать карту как платежный инструмент будут судорожно снимать все до копейки и как можно скорее после начисления денег.
Когда многие крупные компании усложняют идентификацию, вводя например двухэтапную авторизацию, или анализируя поведение клиента учитывающее устройства и геолокацию (например если вы постоянно заходите в свой аккаунт гугл или фейсбук из одного и того же города, а потом неожиданно из другой страны то система авторизации задает дополнительные вопросы для более точной идентификации), Приватбанк создал систему со слабой защитой, ведь телефон в конце концов можно потерять, или он может быть украден.
Будем надеяться что приватбанк впредь будет создавать более защищенные и безопасные системы как для клиентов так и для своих сотрудников…
Уважаемый клиент!
Во избежание мошеннических действий и несанкционированного использования Ваших средств, никогда не предоставляйте информацию о своих картах третьим лицам, даже если они обращаются к Вам якобы от имени банка. ПриватБанк никогда не совершает звонки и не отправляет писем, в которых просит клиентов уточнить номер банковской карты, срок ее действия, ПИН-код, CVV2-код карты, имя пользователя и пароль для входа в Приват24, OTP-пароли, которые приходят в SMS, девичью фамилию матери или другое кодовое слово. Никогда не сообщайте ПИН-код, CVV2-код и срок действия Вашей карты, общаясь по телефону с сотрудниками ПриватБанка. Никто из сотрудников колл-центра не имеет права уточнять эти данные по телефону. При необходимости, Вас могут попросить ответить на несколько уточняющих вопросов, касающихся Вашей личной информации, но не ПИН-кода.
С уважением, ПриватБанк.
Спасибо, я то это понимаю, и своим друзьям и знакомым объясняю, но вот бывают же случаи.
О вот это видео надо показывать, пенсионерам или тем кто никогда не использовал карты, перед тем как выдать карту.
http://www.youtube.com/watch?v=uf8VE_k7E8Q
Вот интересный рассказ чувака которого пытались развесит по подобной схеме, только ему сначала обещали перевести деньги за продажу товара, а потом якобы для подтверждения перевода выпрашивали код доступа в банкомат.
http://habrahabr.ru/post/172179/#comment_5978957