Пока вы спали, мошенники «работали». Как у клиентов ПУМБ ночью похищали со счетов деньги и при чем тут «Монобанк»

Журналист

20 марта 2021 21:31

«Никому не сообщайте свой ПИН-код, даже сотрудникам банка» — такие или похожие сообщения получал каждый из нас, ведь банки переживают за наши деньги на их счетах. Или не очень?

У многих клиентов банка ПУМБ, принадлежащего олигарху Ринату Ахметову, в феврале и марте появились довольно серьезные сомнения на этот счет. По меньшей мере десятки клиентов банка стали жертвами мошенников, которые вывели деньги с их карточек. В ПУМБ сначала открещивались от проблемы, но потом все-таки признали ее. Что же случилось?

Ночные воры

С начала февраля на сайте «Минфин» (не путать с Министерством финансов) начали появляться отзывы клиентов банка ПУМБ о списании мошенниками денег с карточек.

«18 февраля примерно в 5 утра были украдены с зарплатной карты деньги. Осуществили три перевода на 1500, 2650, 2700 грн. Данные карты я нигде не светил, с неизвестных номеров не звонили, подозрительные смс не приходили, сим-карту не восстанавливал, паролей от онлайн-банкинга и подозрительных входов не было, ПИН-код никто не знает», — пишет один из пострадавших.

Другой пострадавший рассказал, что 23 февраля, после того, как расплатился через терминал в магазине, получил смс о балансе на карте — и там не хватало 8000 гривен.

«Я сразу зашел в приложение “ПУМБ-онлайн” и обнаружил, что 22 февраля в 7:09 было три платежа на сумму 2700 грн каждый с пометкой MONODirect Kyiv UA», — говорится в отзыве.

А вот житель Донецкой области Игорь Белозеров даже записал видео на YouTube, которое уже набрало более 66 тысяч просмотров. В нем мужчина рассказал о похищении 16 тысяч гривен с его счета. В комментарии hromadske он говорит, что после публикации видео ему написали не менее 20 пострадавших клиентов банка, а один его знакомый рассказал о списании 2 тысяч долларов.

«21 февраля мне в банке консультант сказал (и это есть на видео), что очень много мошеннических операций», — говорит Белозеров.

Как же украли деньги?

Судя по этим отзывам, деньги выводились одним и тем же способом: мошенники каким-то образом получали доступ к онлайн-банкингу ПУМБ, привязывали карту к «Монобанку» — во всех случаях платеж шел с пометкой MONODirect Kyiv UA — и переводили туда деньги несколькими транзакциями.

Осуществляли эти операции мошенники в основном ночью или рано утром, когда владельцы счетов еще спали. Но как это удалось — главная загадка мошеннической схемы.

Игорь Белозеров рассказал, какую схему ему назвали в банке: «Карту ПУМБ привязали в приложении “Монобанк” с помощью моего приложения “ПУМБ-онлайн”. Вошли в приложение, нажали “узнать cvv-код карты”, после чего мне в личные сообщения на смартфоне пришло смс с этим кодом. Они его прочитали, узнали код на обратной стороне карты, который часто выманивают мошенникиcvv-код, привязали карту и дальше быстро начали списывать мои деньги».

В этом случае смс действительно приходило потерпевшему, однако многие из жертв говорят, что подобные сообщения им на смартфоны не приходили. Поэтому некоторые не сразу поняли, что деньги украли.

И же что стало с деньгами?

В своих отзывах жертвы писали, что в возвращении средств им отказали. В ПУМБ объяснили, что в операциях была использована биометрическая идентификация с использованием идентификация пользователя по лицу или отпечатку пальцаFace ID/Touch ID в приложении «ПУМБ-онлайн», а в таком случае, согласно правилам, средства не возвращают.

Некоторые пострадавшие обратились в полицию, сделал это и Игорь Белозеров. Он рассказал нам, что уже месяц ему не отвечают.

«Написал заявление в Киберполицию — тишина, писал в НБУ — тишина, писал в финансово-промышленная группа Рината Ахметова, в которую входит и банк ПУМБСКМ — тишина», — говорит мужчина.

Белозеров обращался и в «Монобанк», но там посоветовали узнать данные о получателе денег (то есть, куда мошенники вывели средства) в ПУМБ. Через некоторое время номер карты мужчине узнать удалось, но «Монобанк» раскрывать информацию отказался.

«Они сказали, что могут предоставить данные о владельце этой карты только полиции и только по решению суда», — говорит Игорь.

Он добавил, что из более чем 20 клиентов, которые написали ему о своих историях похищения денег, сначала отказ получили все, а с мертвой точки дело сдвинулось, лишь когда вышло его видео.

Сайт «Минфин» отмечает, что массово о случаях мошенничества люди начали писать уже в марте, поэтому, похоже, ПУМБ уже не мог не отреагировать.

Реакция ПУМБ

17 марта на сайте банка появилось заявление, в котором указано, что он провел расследование и обещает вернуть деньги «во всех случаях, подпадающих под признаки операций, по которым банк осуществляет компенсации».

И хотя в банке уверяют, что у них высокий уровень защиты данных, ответ косвенно свидетельствует о существовании дыры в системе защиты. Так, вернуть средства ПУМБ пообещал пострадавшим от мошенничества в конкретный период — с 5 февраля по 10 марта. После этой даты проблему удалось решить, как утверждает банк.

«Дополнительно ПУМБ ввел еще один уровень контроля проведения платежей для предотвращения подобных случаев в будущем», — говорится в заявлении.

Мы обратились в пресс-службу банка за дополнительным комментарием и вот, что там рассказали.

Существование «мошеннической схемы» ПУМБ отрицает и указывает, что все входы в онлайн-банкинг, с помощью которых украли деньги, происходили «с корректным вводом конфиденциальной информации (логин, пароль), что является типичным поведением обычного клиента».

«Руководство ПУМБ приняло решение в определенных случаях возместить клиентам средства, списанные с их счетов мошенническим путем, в рамках лояльного отношения банка к своим клиентам. Правоохранительные органы должны установить виновных лиц, которые будут обязаны возместить ПУМБ понесенный ущерб», — говорится в ответе на запрос hromadske.

Конкретный способ хищения денег также должны установить правоохранители, рассчитывает банк. Мы обратились в Киберполицию, но ответа пока не получили.

Также в ПУМБ исключают причастность своих сотрудников к сливу данных клиентов (некоторые из жертв высказывали подобные предположения).

«В банке не хранятся пароли к интернет-банкингу клиентов в незащищенном виде. Компрометация логина и пароля возможна только со стороны клиентов (использование паролей электронных почтовых ящиков, паролей к системам интернет-банкинга других финансовых учреждений, ввод паролей на мошеннические сайты, которые воруют личные данные пользователейфишинговых сайтах и т.д.)», — заверили в банке.

В своем ответе пресс-служба ПУМБ сообщила, что компенсации клиентам выплатили 18 марта. На сайте «Минфин» некоторые жертвы действительно рассказали о возврате денег, хотя далеко не все жалобы помечены как решенные. Игорь Белозеров заявил нам, что ему деньги пока не вернули, хотя в банке пообещали это сделать.

«Сказали, что какая-то сумма зависла на карте мошенника», — уточнил он.

Пресс-служба ПУМБ отказалась сообщить нам, сколько людей обратились с такой проблемой, сколько людей получили компенсации и какова общая сумма компенсаций. Рассказали только, что наибольшая сумма компенсации одному клиенту — 16 тысяч гривен.

Расслабляться не стоит

Как рассказали в ПУМБ, с введением дополнительной защиты новые обращения о подобной схеме кражи денег в банк не поступали. Однако hromadske поговорило с одним из клиентов, у которого мошенники списали деньги уже после 10 марта. Хотя этот случай, похоже, более прозаический.

Сергей работает в крупной украинской IT-компании Sigma Software, он стал жертвой мошенников 13 марта. С его карты списали более 20 тысяч гривен, а удалось это мошенникам благодаря перевыпуску его мобильного номера, привязанного к банковской карте. Пострадавший объясняет: SIM-карту «увели», поскольку она не была привязана к паспорту.

«Перевыпустили SIM-карту, я этого сразу не заметил, а заметил уже, когда пришло сообщение о подтверждении транзакции, которую я не делал. Я пытался позвонить куда-то, заблокировать карту, но, конечно, уже ничего не работало (то есть уже не работала его SIM-карта, — ред.)», — рассказал Сергей.

Киберполиция уже предупреждала о популярности такой схемы. Мошенники звонят несколько раз (представляясь службами такси или другими организациями) и убеждают жертву перезвонить. После этого они заказывают у оператора услугу восстановления SIM-карты, а для этого надо назвать последние набранные номера. Также мошенники могут пополнить счет жертвы, чтобы знать последнюю сумму пополнения.

Получив контроль над SIM-картой, злоумышленники используют ее для замены пароля интернет-банкинга, после чего могут распоряжаться деньгами на счете.

Случаи, которые произошли с клиентами ПУМБ в феврале-марте, отличаются тем, что SIM-карты не перевыпускали, а списать деньги мошенники смогли и без этого.

Сергей удивляется, как мошенники смогли перевыпустить его сим-карту, ведь он и сам не помнил последние набранные номера.

«В отделении уже оператор вместе со мной подбирал номера вызовов, и совпал какой-то номер, который даже не был записан, я звонил туда один раз, заказывал еду. Непонятно, как у мошенников оказались мои звонки, когда я сам не мог их назвать», — сказал он.

Так или иначе, мошенники получили доступ к «ПУМБ-онлайн» и перевели средства. И Сергей не единственная жертва даже в своей компании. По его словам, он знает еще троих пострадавших, у всех списали более 16 тысяч гривен.

Также Сергей отмечает интересный нюанс — у него и у трех его коллег деньги списали после получения зарплаты, и произошло это после 10 марта. ПУМБ же пообещал компенсации пострадавшим до 10 марта. Поэтому Сергей и его коллеги не знают, удастся ли им вернуть деньги.

«Я разговаривал с менеджером ПУМБ и спрашивал, почему они привязываются к 10 числу, а если после, то уже не считается? Она не смогла дать четкого ответа. А по конкретно нашим случаям она сказала, что ситуация находится на рассмотрении службы безопасности банка. Соответственно, пока ничего обещать не могут», — подытожил Сергей.

Как минимизировать риски?

В самом ПУМБ дают клиентам ряд рекомендаций, как предотвратить атаки мошенников:

• менять пароль для входа в приложение «ПУМБ-онлайн»;

• не использовать пароли, которые вводились на любых других сайтах;

• устанавливать отдельные пароли в мобильном приложении каждого банка, где клиенты обслуживаются;

• привязать мобильный номер к паспорту;

• установить дневные лимиты в интернет-банкинге.

Советы дает и Киберполиция. Так, правоохранители рекомендуют:

• привязывать к карте отдельный номер телефона (финансовый номер) и не сообщать его посторонним;

• использовать исключительно официальные приложения мобильного банкинга, иначе вы можете скачать фишинговое приложение;

• подключить услугу дополнительного пароля для осуществления операций с SIM-картой;

• не передавайте карту посторонним при расчетах в заведениях питания, магазинах и т.п.;

• не используйте непроверенные ресурсы для оплаты товаров или услуг онлайн, они могут быть фишинговыми;

• для онлайн-расчетов нужно использовать сайты с защищенным протоколом (https://).

Наконец следует помнить азы: не разглашайте конфиденциальную информацию, такую как номер банковской карты, срок ее действия, cvv-код, ПИН-код, логин и пароль интернет-банка, информацию из смс, финансовый номер телефона. И не надо звонить на номер из сообщения, которое якобы прислал банк.