Мінфін - Курси валют України

Встановити

Відсутність захисту від шахраїв та компенсації за завдання збитків шахраями

×

Введіть ваш E-mail
для оформлення передплати:

Підписатися

Підписку оформлено успішно

На вказану вами електронну пошту відправлено
лист з підтвердженням передплати.

Ми раді, що ви з нами!


Уважаемый Андрей!

У додатку до оформення підписки
ви можете також отримувати:

Підписатися

Підписку оформлено успішно

На вказану вами електронну пошту відправлено
лист з підтвердженням передплати.

Ми раді, що ви з нами!



Повернутися на сайт
×

Отримуйте по E-mail найголовніші
фінансові новини України і світу:

Підписку оформлено успішно

На вказану вами електронну пошту відправлено
лист з підтвердженням передплати.

Ми раді, що ви з нами!



Повернутися на сайт
Підписатися
Hellraiser 21 червня 2023, 12:35
Я залишу тут опис ситуації (просто для загального відома) від імені свого батька-пенсіонера, адже я фактично пережив разом з ним цей інцидент.

Зазвичай подібних історій за останній час багато, ця ситуація не буде якоюсь унікальною.

Мій батько — пенсіонер на початку травня 2023 р. став жертвою шахраїв та реакція банку з «передовим» захистом та алгоритмом протидії шахрайським атакам.

Отже, близько дев’яти вечора, з невідомого номера масово почали роздаватися вхідні дзвінки. За декілька хвилин до цього тричі були змінені кредитні лиміти (отримані смс-повідомлення).

Одразу ж з двох карток (паралельно) кожної хвилини, почались несанкціоновані списання (без будь-яких дзвінків з привату, та смс-підтведжень).

Загальних списань з карток було 20!!! Тобто по 10 транзакцій з кожної картки — універсальна та пенсійна.

Усе це стало відомо на наступний день, оскільки телефон в руки в день шахрайської атаки ніхто не брав. Звичайно, що в день, коли про це дізнався батько (усі були в шоці), заблокували картки, звернулись до кіберполіції, навіть отримали № в ЄРДР про відкриття кримінального провадження.

Я декілька раз із максимально зрозумілим набором даних (скріншоти, пояснення) надсилав банку листи.

В останньому листі банку надіслав запитання, чи проводили банківське службове розслідування та як оцінює сам банк такі операції? Чи вважає їх підозрілими тощо.

Із самого початку були класичні відписки про те, що поза межами юрисдикції банку перебуває можливість проведення розслідування, що треба звернутися до поліції.

Така відповідь була отримана після того, як я двічі вказував банку про те, що звертались в кіберполіцію. Тобто абсолютно ніхто в банку не читає ваші листи!

Остання відповідь класика жанру, але з елементами якогось знущання.

Процитую частину відповіді.

«Дані операції були підтверджені шляхом використання «Технології безпеки 3-D Secure» (Verified By Visa або MasterCard SecureCode).

На жаль, чинним законодавством не надано повноважень Банку здійснювати повернення проведеного переказу. Тому Банк не може повернути переказані кошти.

У випадку впевненості в наявності шахрайських дій щодо списання грошових коштів, рекомендуємо звернутись до правоохоронних органів. Розуміючи Ваше становище, Банк буде намагатись максимально ефективно співпрацювати з правоохоронними органами та сприяти щонайскорішому розгляду даної справи.

Для подальшого безпечного використання послуг Банку радимо змінити платіжну картку, фінансовий телефон та пароль входу в Приват24. Банк постійно працює над вдосконаленням своїх послуг, в тому числі в сфері захисту своїх клієнтів від шахрайських дій".

1. Якщо банку надаються скріншоти масових списань без будь-яких підтверджень зі сторони власника рахунку, при цьому батько ніколи в житті жодним чином не купував в інтернеті товари, тим більше нікому ніколи не давав жодних даних (ПІН-код, CVV, не переходив на сумнівні сайти).

Дуже цікаве формулювання у відповіді «У випадку впевненості в наявності шахрайських дій…».

Це як взагалі коментувати? Кожної хвилини відбувається списання без підтверджень та блокування зі сторони банківських алгоритмів, це як назвати?

Про який захист в принципі може йти мова? Чому одразу ж не списати кошти з карток клієнтів та не видати цими коштами зарплати працівникам банку, а потім повідомити, що списання відбулось за допомогою Технології безпеки 3-D Secure.
Я навіть не думав, що банк ЖОДНИМ чином не поставить питання щодо оскарження незрозумілих транзакцій в форматі чарджбек.

Про компенсацію я просто мовчу, хоча б з огляду на приписи статті 1073. Цивільного кодексу тощо.

Цікаво, що повинен робити слідчий в цій справі (питання риторичне).

Приватбанк жодним чином не відповідає за будь-яку втрату грошових коштів його клієнтом, який в свою чергу повністю дотримується конфіденціальності даних.

Усі ці гасла про якийсь захист (на який витрачаються сотні тисяч доларів) є порожнім звуком.

Зрозуміло, що єдиним виходом проти банківського беззаконня є лише звернення до суду.
Приватбанк
Відповідь банку
21 червня 2023, 14:27
Вітаємо.
Описані вами операції доступні лише при наявності доступу до Приват24. Маючи лише фінансовий номер здійснити вхід в акаунт немає змоги, адже необхідно знати також пароль від акаунту або ж ПІН код картки(для відновлення доступу), що відомі лише клієнту власнику картки.
Зі своєї сторони ми робимо все, щоб вберегти кошти клієнтів від шахраїв та наголошуємо, що клієнт сам також має змогу не дати заволодіти своїми грошима.
Ось тут 👇 є декілька проситих та від того не менш корисних правил, як не стати жертвою шахрайства:
https://privatbank.ua/informational-security
https://privatbank.ua/safeness

Коментарі - 29

+
+30
Qwerty1999
Qwerty1999
21 червня 2023, 13:34
#
Печально, что до этого инцидента вы не смогли отцу-пенсионеру настроить двуфакторную авторизацию при входе в Приват24 либо вообще включить фильтрацию по «белым» ip-адресам.

Мошенники завладев доступом к Приват24 получили полный контроль над средствами клиента…
+
+30
Hellraiser
Hellraiser
21 червня 2023, 14:31
#
По двухфакторке — смс — перехватывают (насколько я понимаю, достаточно завладеть номером предоплаченной связи), что уж говорить о том, что очевидно зашли каким-то образом в Приват24. Если допустить, что банк озвучивает правду по поводу 3D Secure возникает вопрос, почему банковкий алгоритм защиты не обрубил возможность ежеминутного списания !

По IP-адресу, он должен быть статичным, а это номер предоплаченной связи.

Мы сколько угодно можем обсуждать попытки обезопасить себя. Но давайте смотреть реально на вещи. Четкая поминутная систематичность списаний, разве это не показатель и критерий для признания таких транзакций подозрительной ?
+
+16
SergeyNina
SergeyNina
22 червня 2023, 1:16
#
Я думаю деньги украли сами сотрудники приватбанка с высоким уровнем доступа. Чтобы такое провернуть надо знать пароль входа в Приват 24 и кучу данных о клиенте. Не говоря уже о финансовом номере и дублирование СМИ карты было как минимум. Моё мнение деньги украл кто-то из сотрудников с высоким уровнем доступа
+
0
Hellraiser
Hellraiser
22 червня 2023, 11:48
#
В том-то и дело, что очень много данных, наверняка было собрано.

Сумма приличная и собиралась долго под 34 тыс. Это уму непостижимо, чтобы банк таким наглым образом, абсолютно никак не присвоил таким транзакциям ярлык «подозрительной». При том, что с двух карт все снималось.

Как могло пройти 20 транзакций ?

Только одна транзакция, причем никогда человек подобные суммы не тратил потянула на 9200 грн. — покупка услуг в фейсбук (типа заказ рекламы) !

Почему банк при этом даже не инициировал протест.
+
+16
SergeyNina
SergeyNina
22 червня 2023, 1:19
#
Изменение кредитного лимита если это не пару тысяч гривен это минимум требует подтверждение со стороны сотрудника банка который одобряет повышение. Или кто-то влез в автоматический алгоритм установки кредитного лимита
+
0
Hellraiser
Hellraiser
22 червня 2023, 12:00
#
Конечно, влезли…Причем я уверен, что манипуляция была с номером телефона, через который производились подтверждения. Это при том, что никаких смс (даже после совершения хакерской атаки) на телефон не приходили.

Подобная инфа должна была проходить через оператора в истории (опять же это расследования, была ли смена симки). Могло использоваться оборудование по переадресации (я тоже этого не исключаю).

Первое изменение лимита, судя по всему было сделано, чтобы сразу списать по максимуму 9200 грн. Ноль звонков от банка, никаких подтверждений.

Естественно, получили полный контроль над управлением. Я еще удивлен, почему решили не оформлять кредит, чтобы его сразу списать, коль такая пьянка.

В любом случае, подход банка в этой ситуации по переводу стрелок, абсолютно возмущает. Всем понятно, что никакая полиция в Украине (где тысячи подобных случаев), заниматься расследованием не будет. Но даже полиция комментирует то, что возвратом средств занимается банк !!! Полиция преступников разыскивает, но уж точно не возвращает деньги.

Мы как клиенты банка доверяем деньги, чтобы они были в сохранности. Да, конечно, клиент обязан соблюдать конфиденциальность, в этом случае, пострадавший не совершал никакой халатности.

Банк понимает, что вероятность обращения в суд минимальная, по разным факторам.
+
0
Hellraiser
Hellraiser
22 червня 2023, 12:10
#
Что самое интересно, через 2 дня после несанкционированного списания, был звонок якобы от работника привата, который утвердительно сказал, что вы (обратившись к пострадавшему) недавно изменили ПИН-код, поэтому я вас прошу сообщить мне новый и озвучить дату рождения, мотивировав получение эти данных тем, что нужно пройти верификацию и что карты будут заблокированы. В этот момент отправил еще и код в смс-сообщении.

При этом звонивший не просто констатировал факт изменения ПИН-кода, он его еще и назвал !

Естественно, что подобная осведомленность говорит о том, что неизвестный участвовал в этом преступлении.

Если бы у нас банк и полиция были бы заинтересованы в решении проблемы, что стоит найти такого человека ? При том, что он наглым образом не отключал телефон еще как минимум неделю !
+
0
Qwerty1999
Qwerty1999
22 червня 2023, 15:33
#
Автоматическое изменение кредитного лимита подразумевает отсутствие ручного вмешательства в этот процесс…
+
0
Parti
Parti
25 червня 2023, 11:27
#
А вы в курсе что двухфакторную авторизацию в привате можно настроить только в веб версии? В мобильном приложении такой возможности нет (, во всяком случае с подтверждением смс или звонком на финансовый номер. Ай пи не вариант, потом вообще можешь не зайти в свой аккаунт, если ай пи динамический.

+
0
Qwerty1999
Qwerty1999
25 червня 2023, 12:00
#
Parti
«А вы в курсе что…»

У большинства пенсионеров нет смартфонов
и соответственно мобильного приложения Приват24.
Я использую веб-версию Приват24 именно из-за
ограничения доступа по ИП-адресам.

Ещё ни одному хакеру не удалось
обойти это ограничение, даже имея
доступ к номеру телефона и номерам БПК…

P.S. Очень простая и эффективная защита.
+
0
Hellraiser
Hellraiser
29 червня 2023, 11:50
#
В случае моего отца, использует исключительно мобильное приложение Приват24. Пенсионеры тоже разные бывают, как по продвинутости так и возрасту.

Я вам больше скажу, что по умолчанию, банковский алгоритм должен быть направлен на сохранность средств таким образом, чтобы клиент НЕ ДУМАЛ, как ему поступить и настроить платежный инструмент, чтобы его защита была максимальной.

Да, банк обязан предоставить разнообразие всего спектра инструментов, чтобы клиент смог из него выбрать подходящий, с учетом технических возможностей.

Но базовый функционал просто обязан быть настроен на почти 100% логику срабатывания защиты, включая абсолютно другое понимание кредитного лимита (именно как блокировку оплаты, сверх установленной суммы, вне зависимости от сайта, где происходит оплата), а не то, как банк понимает кредитный лимит (как блокировку списаний на рисковом сайте).

Саму настройку (изменение) кредитного лимита подвязывать только под смс-подтверждение, извините, но это полный треш.
+
0
Qwerty1999
Qwerty1999
29 червня 2023, 12:02
#
Если пенсионерам выдавать пенсионные карты с максимальным уровнем защиты, то они не смогут даже снять свою пенсию наличными ни в банкомате ни в кассе, ведь суточный лимит снятия наличных может быть изначально установлен в ноль.

Так что должен быть баланс между параноидальными
настройками и разумными лимитами и ограничениями.
+
0
Hellraiser
Hellraiser
29 червня 2023, 12:27
#
Во-первых, как вам и написали выше. Веб-версия и мобильная версия априори не может отличаться по функционалу защиты и её управления (потому что это критически важная настройка). Но поскольку вы правильно применили слово сбалансированность, то она должна быть в сторону защищенности и очевидных алгоримов срабатывания.

Срабатывание по IP адресу, это та настройка, которая должная работать по умолчанию. Более того, я сразу был уверен в том, что именно так это и работает.

Но если клиент установил кредитный лимит, это должно пониматься так, что клиент не желает иметь перерасход средств (где бы не производилась оплата). Банк не может решать вместо клиента хочет ли он тратить больше / меньше средств, ориентируясь только на оценку рискованности сайта (кстати, неясно, как это определить).

Де-юре, банк явно нарушил ряд норм, естественно, что все это предмет судебного процесса, который к сожалению, в реалиях Украины почти невозможен по ряду причин, чем банк с большим удовольствием пользуется.
+
+31
Руслан Новиков
Руслан Новиков
21 червня 2023, 13:40
#
Мошенники завладев доступом к Приват24 получили полный контроль над средствами клиента…

мошенники это работники прихвата которые занимаются грабежом пользуясь государственной крышей
+
0
MykolaA
MykolaA
21 червня 2023, 14:22
#
Украли деньги при внесении наличных средств в терминал самообслуживания

Руслан Новиков 3 марта 2023, 13:07
Сегодня при пополнении карты монобанка через терминал приват банка, украли средства в размере 4800гр.
+
+15
Hellraiser
Hellraiser
21 червня 2023, 14:38
#
Відповідь ПриватБанку щодо інциденту.

«Описані вами операції доступні лише при наявності доступу до Приват24. Маючи лише фінансовий номер здійснити вхід в акаунт немає змоги, адже необхідно знати також пароль від акаунту або ж ПІН код картки (для відновлення доступу), що відомі лише клієнту власнику картки».

Неодноразово вам були надіслані відповіді, що ніяким чином дані не передавались третім особам. Особа ніколи не здійснювала покупок через он-лайн, тобто фактично навіть не могла сприяти витіку даних.

Питання щодо неспроможності заблокувати масові списання без будь-яких підтверджень (смс-повідомленнями, або під час дзвінку) банківським алгоритмом залишається відкритим.
+
0
Danilich
Danilich
22 червня 2023, 12:50
#
Чтоб перехватить смс нужно спецоборудование которое не продается всем подряд, и стоит очень приличных денег. Либо сговор с сотрудниками мобильного оператора. Взлом не массовый, а целенеправленный, т.к. знали балансы по картам. Возможно у вас на телефоне был троян, который воровал смс, особенно если старый андроид, на него вообще нельзя ставить софт. Вообще на стороне привата очень странно не поставить триггер на резкое повышение кредитного лимита и клиент делает сразу десятки транзакций, как минимум можно было заморозить карту и запросить подтверждение по телефону в кал-центре
+
0
Hellraiser
Hellraiser
22 червня 2023, 14:57
#
Проги устанавливались всегда с Android Market, но за последний год вообще ничего не устанавливалось. А что касается спец. оборудования, если занимаются на потоке, что мешает его окупить за десяток подобных атак ?

Что вы имеете в виду под триггером на резкое повышение кредитного лимита ?

Вы должны понимать (кстати, это комментарий от приватбанк по подобным ситуациям), что кредитный лимит срабатывает исключительно на рисковых сайтах (к которым непонятно, что относится), на белых и проверенных ресурсах — никакой лимит не работает !

1. Вместо того, чтобы давно внедрить хотя бы вариант подтверждения изменения кред. лимита не через финансовый номер, а посредством, допустим письма из почты (!!!), банк все продолжает завязывать на фин. номере, который может быть украден и т. д.

2. Под кредитным лимитом понимать волеизъявление клиента заморозить любые оплаты (сверх установленной суммы), где бы они не происходили.

Уже при срабатывании этих двух пунктов, можно было бы отклонять любые транзакции и наладить блокировку 3D Secure.

Если вы внимательно прочитали мой пост, информацию о происшествии узнали на следующий день (заморозка стала формальной процедурой).

Все произошедшее явно не укладывается в адекватные алгоритмы банка по предотвращению подобных массовых транзакций. Можно только гадать, что явилось источником проблемы, начиная от участия сотрудника банка, заканчивая, чем угодно.
+
0
Danilich
Danilich
22 червня 2023, 16:46
#
«триггером на резкое повышение кредитного лимита»
клиент пытается несколько раз его повысить и сразу же после повышения делает в счет него кучу покупок или переводов, это уже аномальное поведение. Скажем можно пропустить 1−2 операции, а 3-ю уже отправить на подтверждением голосом клиента
+
0
Hellraiser
Hellraiser
22 червня 2023, 18:44
#
Как мне кажется, тут вопрос нужно рассматривать, во-первых, действительно в частоте переводов. Во-вторых я считаю, что в первую очередь ошибкой банковской системы защиты является исключительный ориентир на подтверждение операции или изменение ключевых параметров (финансовый номер, ПИН-код и т. д.) посредством финансового номера через смс-подтверждения. Это просто недопустимо.

Но в идеале, действительно как в вашем предложении задействовать голосовую биометрию (путем перезвона от робота) + добавить озвучку дополнительного параметра (на выбор — назвать кодовое слово / дату рождения (как дополнительный тригер к голосу, который могут записать, чтобы потом воспроизвести).
+
0
Qwerty1999
Qwerty1999
29 червня 2023, 12:04
#
«посредством финансового номера через смс-подтверждения. Это просто недопустимо.»

Если не в курсе, то робот Приватбанка довольно часто звонит
на финансовый номер с просьбой нажать цифру «1» для подтверждения транзакции и только в случае недозвона присылает смс-ку с ОТП-паролем…
+
0
Hellraiser
Hellraiser
7 липня 2023, 21:14
#
Дело даже не в смс-подтверждении. Многочисленное количество афер с финансовым номером и подвязка подтверждений исключительно благодаря ему является недоработкой банка.
Впрочем о чем тут можно говорить, банковский алгоритм явно несовершенен… Истории про IP и прочие «прелести» для продвинутых и обладателей личных кабинетов web версий и это не проблема менее продвинутых пользователей.
В этой ситуации, явная беззащитность клиента от подобных атак.
Очевидные подозрительные операции на лицо и они должны пресекаться банком.
На любой взлом по вине банка, будет даваться классический ответ «Ваша транзакция проведена благодаря 3D Secure», обращайтесь в полицию. Вот только в полномочия полиции не входит возврат средств и об этом банк прекрасно знает.
К сожалению, если бы у нас в Украине судебная система работала как в США, имел бы смысл обращаться в суд, чтобы с банка взыскать за подобный случай 10-ти кратный размер, тогда бы по-другому относились к безопасности, а не сказки рассказывали, кто что включил или не включил.
+
0
Qwerty1999
Qwerty1999
8 липня 2023, 10:07
#
Hellraiser

Вас никто не ограничивает в праве предложить руководству Приватбанка свой вариант железобетонной непробиваемой защиты банковских карт…
Очень желательно, чтобы его внедрение не стоило никаких денег и не создавало никаких проблем миллионам клиентов Привата.
+
0
Qwerty1999
Qwerty1999
22 червня 2023, 21:31
#
Danilich

Можно повышать кредитный лимит с временной задержкой на 8−12 часов,
либо принимать заявки круглосуточно, а повышать кредитный лимит
только в рабочее время с дозвоном к клиенту и проведением его идентификации.

Другой вопрос — это финансовые затраты на толпу сотрудников, которые только
то и будут делать, что перезванивать клиентам и затем увеличивать кредитный лимит вручную.
Как вариант, ввести дополнительный тариф, например 100 или 200 грн
за факт повышения кредитного лимита по запросу клиента.
+
0
Danilich
Danilich
22 червня 2023, 22:19
#
8−12 часов это палево, клиент заметит
Я на ebay делал покупку в счет кр лимита на 600$, мне приват сразу локнул карту после покупки и разлогинил из приват24, и выставил уведомление звонить самому в калцентр или в отделение с паспортом идти разлочивать. Почему у автора не сработало хз, может из-за того что на мелкие суммы раздробили, неясно как у них антифрод работает, накопительный по числу транзакций или сразу на большую сумму
+
0
Hellraiser
Hellraiser
29 червня 2023, 12:00
#
Для уточнения…по разбивкам. Возьму движение по одной карте.

4×205 грн.
8×2010 грн.

Четко каждую минуту списание. А банк издевательским образом комментирует.
«Если вы считаете, что операции имеют признаки мошеннических…»

При том, что такие затраты за один раз клиент ни разу не нес.

В подобных ситуациях, чтобы избежать ответственности и обелить импотентность банковских псевдоалгоримов защиты, универсальной отпиской будет, что клиент сам совершил оплату через 3D Secure.

Естественно, что мошенники давно уже знают о том, что выводить деньги нужно именно так, потому что банк делать ничего не будет.
+
0
Qwerty1999
Qwerty1999
29 червня 2023, 12:31
#
Лично у меня на всех приватовских картах
стоит блокировка интернет-платежей,
а доступ в Приват24 фильтруется по трём
«белым» IP-адресам, поэтому мне сложно
комментировать происходящее, ведь
с моими БПК такое сделать не возможно…
В магазинах расплачиваюсь через GooglePay,
а там номер БПК никак не светиться от слова вообще.
+
0
Qwerty1999
Qwerty1999
22 червня 2023, 16:19
#

Danilich
«Чтоб перехватить смс нужно спецоборудование которое
не продается всем подряд, и стоит очень приличных денег»

Полнофункциональное в пределах 1000 евро.
С урезанным функционалом в пределах 200 евро.
+
0
Hellraiser
Hellraiser
22 червня 2023, 16:34
#
Даже если 10 000 евро. Когда речь идет о крупных масштабах, все это окупается за недели, если сильно не светится. Все прекрасно знают оборот подобных атак, статистика имеется в НБУ.
Щоб залишити коментар, потрібно увійти або зареєструватися
 

Курс валют в Приватбанк

Валюта Купівля Продаж
EUR 43 44
USD 41.1 41.7
Всі курси банку

Курс валют в Приватбанк

Валюта Купівля Продаж
EUR 43 44
USD 41.1 41.7
Всі курси банку
Головна / Банки України 🏦 / Приватбанк 💰 / Відгуки про Приватбанк 📝 / Відсутність захисту від шахраїв та компенсації за завдання збитків шахраями