Читатель: «Попросил выписку по карте — списали 760 рублей и попытались оформить кредит». Деньги банк возвращать отказался
Алексей хотел получить выписку из «Белгазпромбанка» по движению средств. Он написал в группу банка во «ВКонтакте». Там дали ссылку на сайт и попросили зайти в личный кабинет и оформить заявку, что минчанин и сделал. После чего с его счета списались сначала 400 рублей, потом 360, а затем кто-то попытался оформить овердрафт на его имя. Выяснилось, что и группа, и сайт фейковые.
— В группе было больше 33 тыс. подписчиков. Она выглядела внушительно и гораздо более официально, чем существующая на тот момент официальная группа банка. Со своими 3800 подписчиками официальная выглядела куда более фейково, — объясняет Алексей. — Я написал сообщение, могу ли я получить выписку о движении денег по счету. Мне ответили, что могу, только нужно заполнить заявку на сайте в интернет-банкинге. Сбросили ссылку на сайт банка, я по ней перешел. Зашел в кабинет, ввел пароль и логин...
— Мне тут же пришло сообщение, что кто-то с какого-то другого телефона зашел в мое приложение, — продолжает минчанин. — Практически сразу же стали приходить SMS о списании денег. Сначала 400 рублей, потом 360. Это были все деньги на карте. Затем пришло SMS о том, что овердрафт не одобрен. Потом в аккаунте вижу, что на меня хотели взять еще кредит, но не вышло: я зарегистрировался под выдуманным именем, а они пытались его использовать.
Алексей обратился в банк, там ему сказали, что деньги увели на «Яндекс.Деньги». Он написал заявление в милицию, сообщил в банк о существовании фейковой группы, а также потребовал вернуть 760 рублей, списанные с карты.
— То, что такая фейковая группа существовала, это проблема банка, это просчет их службы безопасности, — считает Алексей. — Откуда обычный пользователь будет знать, какая группа официальная, а какая фейковая? Я точно так же работал с «Беларусбанком», общался с ними через группу, переходил по ссылкам, которые они мне бросали, и никаких проблем не было.
По словам Алексея, после его обращений группа продолжала существовать еще две недели. В итоге ее заблокировали по жалобам пользователей. Сколько человек пострадало от деятельности этой группы, неизвестно.
Между тем в возврате денег клиенту банк отказал. Вот какой ответ получил Алексей: «Банком были проанализированы операции, изложенные в Вашем обращении. В результате Банком было установлено, указанные Вами операции были осуществлены с использованием технологии аутентификации держателя карточки в форме услуги дистанционного банковского обслуживания Банка „Мобильное приложение“ (далее — Мобильное приложение). Установка и активация Мобильного приложения была произведена корректно, в соответствии с п. 13 Правил оказания услуг дистанционного банковского обслуживания физических лиц, являющихся неотъемлемой частью договора об оказании услуг дистанционного банковского обслуживания.
В соответствии с п. 7 Инструкции о порядке совершения операций с банковскими платежными карточками, утвержденной постановлением правления Национального банка Республики Беларусь от 18.01.2013 №34 (далее — Инструкция), банк отказывает клиенту — физическому лицу в возврате денежных средств по операциям, не санкционированным держателем карточки, в случае, если операции были совершены с использованием технологии аутентификации держателя карточки посредством системы дистанционного банковского обслуживания.
Исходя из вышеизложенного, на основании п. 7 Инструкции, Банк отказывает Вам в возмещении денежных средств по операциям, указанным в Вашем заявлении.
Настоящим разъясняем Вам, что в соответствии со ст. Закона Республики Беларусь от 18 июля 2011 года №300-З „Об обращениях граждан и юридических лиц“, ответ на обращение или решение об оставлении обращения без рассмотрения по существу организации, не имеющей вышестоящей организации, может быть обжалован в суде в установленном законодательством».
— Планируем обращаться в суд. А что делать? — говорит парень.
«Белгазпромбанк»: «Клиенты должны очень серьезно относиться к приватности своих персональных данных»
Необходимо отметить, что внимание мошенников к деньгам белорусов все более усиливается. При этом для спокойного использования информационных систем нужно внимательнее относиться к своим паролям. Пока случаи, когда со счета реально списывают деньги без ведома владельца счета, единичны и практически всегда связаны с обманом, мошенничеством.
— Нечасто (примерно раз в год) банк сталкивается с фактами использования своего имени на посторонних, не связанных с его деятельностью интернет-ресурсах. В последнем случае мошенник пытался придать себе веса, прикрываясь тем, что он сотрудничает с «Белгазпромбанком». Для таких ситуаций у нас предусмотрены механизмы взаимодействия с регулирующими и правоохранительными органами, — говорит начальник управления информационной безопасности ОАО «Белгазпромбанк» Александр Латушко. — Однако для того, чтобы всеобъемлюще мониторить интернет на предмет фейковых страниц, групп, у нас недостаточно ресурсов. Создать фейковую группу несложно: скопировать контент официальной очень просто, приобрести подписчиков недорого, домен регистрируется также дистанционно. Сайт может работать день-два, собрать улов и потом закрыться. Поэтому отследить их крайне сложно. При выявлении таких групп в том же «ВКонтакте» мы обращаемся в администрацию сети. Но самый сложный первый шаг — найти. К сожалению, здесь пока известные способы либо очень дороги, либо не очень эффективны.
У нас есть движение в сторону снижения угрозы, мы понимаем серьезность проблемы и пытаемся ей противодействовать. Отмечу, что в этой работе не последнюю роль играет и созданный в стране межбанковский орган FinCERT.by, позволяющий оперативно обмениваться информацией об угрозах между заинтересованными участниками.
Александр Латушко напоминает несколько главных правил безопасности при работе с банком в интернете:
— Наш банк, как и многие другие, уже давно использует двухфакторную идентификацию. Клиент представляется банку своим паролем и еще одним кодовым числом, которое знает только он и банк и которое все время синхронно изменяется. Если клиент представляется этими данными в сервисах банка, то банк должен доверять тем запросам, которые формируются клиентом. Поэтому первое правило — хранить в тайне свои идентификационные данные. Необходимо понимать, что внимательное отношение к этим данным ограждает ваш кошелек.
Следующее правило } всегда внимательно изучать страницы сайтов, где вводятся парольные данные. Все сайты банков, сайты магазинов, на которых просят внести некие защищаемые данные, эти сайты кому-то принадлежат. Принадлежность сайта обычно представлена в сертификате. На нашем сайте интернет-банка вы можете видеть сверху указание владельца сертификата «Belgazprombank». Этот сертификат выдается только независимыми удостоверяющими центрами, которые проводят специальные проверки. И без подтверждения, что этот сайт принадлежит нашему банку, они такой сертификат не выдают. Если вы выходите на какой-то поддельный сайт, как в данном случае, когда была подложена ссылка на поддельный сайт, то информации о принадлежности сертификата 100% не было. Да, туда была скопирована информация с нашего банка — логотип и сам контент. Но в адресной строке информации о банке не было.
И еще одно, не последнее правило — стоит включать логику. Банк не будет запрашивать ту информацию, которая уже известна. Банк всегда доступен по адресам с официальной страницы. Если есть необходимость обращения в банк, свой путь лучше начинать оттуда. Конечно, использование прямых ссылок упрощает жизнь, но создавать их нужно тогда самому и не использовать чужие. Вопрос «а зачем это?», даже заданный самому себе, в данном случае не лишний.
Подписывайтесь на наш канал в «Яндекс.Дзен», чтобы не пропустить интересные статьи и репортажи
Наш канал в Telegram. Присоединяйтесь!
Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!
