Дыра в безопасности «Сбербанка»: снять деньги с карты можно даже без CVC и SMS-кода

Последние годы мошенничество с банковскими картами распространяется все шире и становится все изощрённее. Оно и понятно, интернет-торговля и онлайн-оплата отвоевывает рынок налички.

Однако бывают случаи, когда это просто "дыра в системе". Прочитал сейчас историю того, как у одного человека сняли деньги с карты буквально чуть ли не случайным перебором номера карты без CVC и кода подтверждения по SMS.

Итак, история началась с того, что Саркис Антонян в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Тут же он позвонил в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек. После нелегкого общения со службой поддержки Сбербанка, которая утверждала, что "ничего сделать нельзя, это вы сами сделали покупки" пришлось ему попросить соединить его с руководством, которое подтвердило все же, что чарджбек оформить можно. Однако его предупредили, что ответ дадут по нему только через пару недель, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

Саркис решил провести собственный разбор ситуации. Загуглил информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Он совсем не ожидал наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал реальный сайт.

Пообщавшись с владельцем сайта оказалось, что деньги готовы вернуть, сославшись на некое "недоразумение". Но сам диалог, ему показался немного странным. Сложилось ощущение, что они что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому Саркис решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать.

Именно так я и думал, до всей этой истории. Полное описание этой истории тут.

Вывод должен быть таким: для любых платежей или приема средств на карту от кого-то создавайте виртуальную карту, которая будет пополнятся под необходимые траты, а все остальное время быть пустой.


Вот что пишут в комментариях:

- Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc). Тут скорее вопрос к Сберу - какого х​**а они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).

- Я часто расплачивался на американских сайтах вводя только номер карты, это особенности многих их платежных систем. И смс также не запрашивают, типа это отдано на откуп платежной системе.

- У страйпа, действительно, в настройках платежки есть возможность владельцу магазина выбрать уровень безопасности приема платежей. И если они принимает оплату без cvv кода - это либо недосмотр владельца сайта, или адский пофигизм, так как это прямой путь к большому количеству чардж-беков, от которых в конечном итоге пострадает сам владелец, так как платежка может отказаться от работы с его магазином.
Касательно того, что в Штатах не парятся с 3d secure и не внедряют его, потому что смысла особого нет. 3d secure это же для платежей с дебетовых карт, а в Америке 99% онлайн платежей происходит кредитками, а там отменить транзакцию раз плюнуть - все банки дают $0 Liability On Unauthorized Charges на свои кредитки.

Вот такие дела. Предупрежден, значит вооружен.

via

Только нал, фпезду карты

збс. пошел ваять фейковый сайт

Это сообщение отредактировал T34rus - 21.10.2020 - 08:55

так это дыра не в безопасности сбера, а просто кликбейтный заголовок.

до недавнего времени на сайте Петроэлектросбыта можно было оплатить электричество - без 3d secure - нужен был номер карты, срок действия и cvc, даже имени или инициалов владельца не требовалось, как и кода из СМС

PS имя и фамилию с карты обычно вводить не надо, только инициалы,
вместо Ivan Petrov - IP

Это сообщение отредактировал Pit1973 - 21.10.2020 - 08:59

Хорошо, что хоть что-то у них в безопасности. ©

он же вроде на передовой должен быть. разве нет?

Зашел я на этот https://www.saybyeaccent.com/ - и не нашел там ни оплаты, ни товаров. Какая херня по обучению инглишу...

Я живу в тайге в землянке, вот реальная защита.
Чтоб написать это нехитрую фразу, мне пришлось залезть на сосну высотой 30 метров и включить свой нокиа 3210

Размещено через приложение ЯПлакалъ

Да ладно вам, был момент с покупками. То счет в 25 евро и код и смс и CVC.
То 4000 ухнулись как здрасьте без подтверждения только с CVC

Недавно узнал, что у сбера можно переводить деньги с телефона просто через смс на 900. То есть любой, взяв мой телефон в руки, может спереть бабло. Никакого приложения у меня нет. Кстати, у сбера вечные проблемы с безопасностью.Поэтому бабло держу в втб и налом, а на сбере только необходимая сумма для покупок в инете.

отключается через настройки в десктоп-версии сбера. В приложении под андроид так и не нашёл, где эта срань выключается

И ещё вот так оно отключается

СМС-платежи – это оплата услуг организаций и перевод денег на счета карт с вашей банковской карты посредством СМС-сообщения.
Вы можете отключить опцию «СМС-платежи» в любое время, отправив команду «НОЛЬ» на номер 900, в Сбербанк Онлайн или обратившись в Контактный Центр Банка по телефонам 900 (звонок только с мобильного, подробнее— на сайте банка) и +7 (495) 500‑55‑50

Как подключить опцию СМС-платежи?

Подключить опцию «СМС-платежи» вы можете в Сбербанк Онлайн или обратившись в Контактный Центр Банка по телефонам 900 (звонок только с мобильного, подробнее — на сайте банка) и +7 (495) 500‑55‑50

Это сообщение отредактировал Pit1973 - 21.10.2020 - 09:28

обращение в Визу и Мастер-карт, непосредственно, по формату чарджбэк, с указанием причины "не оказана услуга" - штраф от платежной системы банку, в размере 25 килоЕнотов

ну не знаю, у меня тупо отключены все транзакции, когда надо включаю и плачу, значит у этого армяшки всё время влючено

когда получал карту бвл лимит по транзакуиям 400$ по умллчанию, написал заяаление и убрали, чтоб только вручну работало

ещё тогда у меня возникли мысли и подобной хуете

иванов ждут, за ними пойдут

пару мыслей вслух. Чардж оформляется и без банка. Это, по сути, претензия к платежной системе, что банк обосрался. Да, многие пытаются оформлять его через банк (ну а как иначе), но это уже вроде как ретривел: запрос к банку о легитимности списания.
Второе: списание без СVV и даты годности (либо не валидной даты и кода). такое тоже есть, если карта УЖЕ была привязана ранее. По сути, это типа первый этап проверки, который при повторной покупке может пропускаться, так как упор идет на 3Д проверку (СМС).
Почему многие люди ходят до сих пор (и тем более светят) карты без подключенного смс подтверждения, не именные и тд - вот интересный вопрос.
Третье. Я не знаю именно этого Саркиса, но те, что попадались - без проблем давали мне в руки свой моментум и прочие продукты сбера, чтоб перевел им напрямую минуя фирму/агрегатора. Большого ума стоит сфотать карту с двух сторон, как Вы считаете?

Это сообщение отредактировал padre666 - 21.10.2020 - 09:31

Саркису Антоняну верить-себя не уважать

Очередной ебантей-истероид: "Мошенники проводят оплаты через заграничные магазины, подключённые к заграничным банкам. Но деньги сняли с медународной карты Сбера, поэтому он и виноват"!

Почитайте уже, как работают МПС (международные платёжные системы). Все заграничные транзакции по картам Сбера идут не через нашу НСКП, а сразу через МПС.

Так что ТС, переписывай заголовок: "Тупорылая MasterCard прощёлкала мошенничество, списав деньги с карты Сбера". Но тогда ты не словишь хайпа, верно?

Такая же фигня! Оплатил что надо и снял наличность. Этот сбербанк с ментами уже много лет мои деньги ищут,снятые кем-то с моей карты. Причём ,тогда ещё не было ни привязок к номеру телефона,ни онлайн кабинетов. И сняли в тот день ещё у 8-х моих коллег. Потом толпой пару месяцев ездили в ментовку,какие-то бумажки подписывать. Как вернут я подумаю ещё.

Размещено через приложение ЯПлакалъ

Как ты живешь с такими дырами в безопасности? Я вот взял выплавил чип из карты, впаял его в белый пластик и скопировал магнитную дорожку. Пин меняю ежедневно. Теперь хоть немного безопаснее себя чувствую- а ты себя ведешь как турист, кладущий кошелек на уличный стол и уходящий мыть руки в туалет в центре рио де жанейро

Я не скину
..
Пусть переводят по номеру телефона, он же указан в обьявлении.