Дыра в безопасности «Сбербанка»: снять деньги с карты можно даже без CVC и SMS-кода

Последние годы мошенничество с банковскими картами распространяется все шире и становится все изощрённее. Оно и понятно, интернет-торговля и онлайн-оплата отвоевывает рынок налички.

Однако бывают случаи, когда это просто "дыра в системе". Прочитал сейчас историю того, как у одного человека сняли деньги с карты буквально чуть ли не случайным перебором номера карты без CVC и кода подтверждения по SMS.

Итак, история началась с того, что Саркис Антонян в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Тут же он позвонил в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек. После нелегкого общения со службой поддержки Сбербанка, которая утверждала, что "ничего сделать нельзя, это вы сами сделали покупки" пришлось ему попросить соединить его с руководством, которое подтвердило все же, что чарджбек оформить можно. Однако его предупредили, что ответ дадут по нему только через пару недель, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

Саркис решил провести собственный разбор ситуации. Загуглил информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Он совсем не ожидал наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал реальный сайт.

Пообщавшись с владельцем сайта оказалось, что деньги готовы вернуть, сославшись на некое "недоразумение". Но сам диалог, ему показался немного странным. Сложилось ощущение, что они что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому Саркис решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать.

Именно так я и думал, до всей этой истории. Полное описание этой истории тут.

Вывод должен быть таким: для любых платежей или приема средств на карту от кого-то создавайте виртуальную карту, которая будет пополнятся под необходимые траты, а все остальное время быть пустой.


Вот что пишут в комментариях:

- Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc). Тут скорее вопрос к Сберу - какого х​**а они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).

- Я часто расплачивался на американских сайтах вводя только номер карты, это особенности многих их платежных систем. И смс также не запрашивают, типа это отдано на откуп платежной системе.

- У страйпа, действительно, в настройках платежки есть возможность владельцу магазина выбрать уровень безопасности приема платежей. И если они принимает оплату без cvv кода - это либо недосмотр владельца сайта, или адский пофигизм, так как это прямой путь к большому количеству чардж-беков, от которых в конечном итоге пострадает сам владелец, так как платежка может отказаться от работы с его магазином.
Касательно того, что в Штатах не парятся с 3d secure и не внедряют его, потому что смысла особого нет. 3d secure это же для платежей с дебетовых карт, а в Америке 99% онлайн платежей происходит кредитками, а там отменить транзакцию раз плюнуть - все банки дают $0 Liability On Unauthorized Charges на свои кредитки.

Вот такие дела. Предупрежден, значит вооружен.

via