Як вкладників «Ощадбанку» грабують ідеально

Ця резонансна історія потрапила у наш фокус, коли до редакції звернувся 78-річний Володимир Добровольський, котрий втратив в «Ощадбанку» кругленьку суму. Банк письмово звинуватив пенсіонера в тому, що той, мовляв, розголосив «конфіденційну інформацію щодо свого банківського рахунка», пише газета Експрес.

Але в ході нашого розслідування з’ясувалися цілком інші й несподівані деталі, які дають нам підстави стверджувати: гроші вкладників державного «Ощадбанку» перебувають у зоні ризику. І навіть якщо мовчатимуть як риби, вкладники можуть позбутися своїх коштів — у будь-який момент.

…Отож, 30 березня Володимир Добровольський поклав 32 тисячі гривень на депозит «Весна красна» на півроку у найближче до свого дому відділення «Ощадбанку». 30 вересня строк дії вкладу закінчився. Літній чоловік попросив свого сина Олександра піти з ним до банку, щоб забрати гроші. Оскільки була п’ятниця, кiнець робочого дня, спiвробiтник установи повiдомив чоловікам, що не може видати депозит, бо в касi немає такої суми. «Сказав, що замовить гроші у понеділок і щоб у вівторок ми по них прийшли, — згадує Олександр Добровольський. — Ми погодилися, нічого не пiдозрюючи».

Але забрати після вихідних свої кровні з державного банку Володимирові Добровольському так і не вдалося. Коли чоловіки прийшли до відділення, то довідалися, що кошти вже хтось зняв, тобто вкрав. Єдине, що порадили банкіри обуреним людям, — звернутися до правоохоронців.

Якби цю історію не оприлюднили журналісти, то, вочевидь, справу про зниклі з «Ощадбанку» 32 тисячі гривень пана Добровольського, стражі закону поклали б у довгу шухляду, а згодом — і закрили. Поліційна статистика рясніє повідомленнями про щоденні крадіжки грошей із банківських карток українців на десятки тисяч гривень. Але чи ви чули, щоб когось знайшли й покарали за це, а потерпілій людині повернули втрачені гроші?! Отож бо й воно.

Звісно, на публікацію в газеті змушені були відреагувати найперше в самому «Ощадбанку». І зробили вони це у дещо дивний спосіб: директор обласного управління державного банку надіслав запит до СБУ з проханням встановити, що ж сталося з коштами Олександра Добровольського. Чому до СБУ? А дідько його знає, можливо, начальник СБУ частенько в одній лазні з начальником банку париться? Як результат, начальник СБУ п. Андрейчук написав у відповіді на запит банку інформацію, яка потрібна банку, щоб через суд відхиляти позови таких вкладників, як пенсіонер Добровольский. Мовляв, проблема у тому, що, як встановлено «в ході попередньої перевірки, зловмисники комунікували із гр Добровольським,  представляючись працівниками ПАТ «Ощадбанк» та в шахрайський спосіб отримали конфіденційну інформацію щодо банківського рахунку».

Звісно, тут напрошується перше запитання: а звідки пан начальник СБУ знає, про що говорив пенсіонер із зловмисниками, — навіть, якщо допустити, що така розмова була? Свічку тримав? Незаконно прослуховував розмови? Залишимо це запитання на потім.

Звісно, банк одразу вніс цю цитату в лист-відповідь клієнтові й на цій основі почав будувати свою ситему захисту в суді.

Але! Лист СБУ, як можна зрозуміти, готувала совісна людина, а начальник СБУ, підписуючи його, ознайомився зі змістом листа не дуже уважно. Даремно. Бо якщо почитати його уважно, починається найцікавіше. Відповідь начальника Управління СБУ пана В. Андрейчука розставляє всі крапки над «і» й підтверджує наші припущення, що система самообслуговування клієнтів «Ощадбанку» «Веб-Банкінг 24/7» — вразлива, а якщо точніше — може легко потрапити під контроль сторонніх осіб. Тому на місці ошуканого пана Добровольського може опинитися кожен, хто довірив свої гроші державному банку.

Цитуємо: «У ході розгляду матеріалів встановлено, що з 30 вересня по 3 жовтня по рахунку ПАТ «Ощадбанк»( 5167…302), який належить громадянину України Добровольському В. С, було здійснено ряд підозрілих банківських операцій. Зокрема, у вказаний період невстановленими особами в системі самообслуговування клієнтів ПАТ «Ощадбанку» «Веб-Банкінг 24/7» було змінено окремі ідентифікаційні ознаки власника рахунка, а саме телефонний номер (097) 503-56-59 (власник Добровольський В. С) на телефонний номер (073) 157-20-70. 3 жовтня 2016 року двома транзакціями на загальну суму 32 тисячі гривень, здійснено вивід грошових коштів з рахунку Добровольського на електронні адреси рахунків Portmone ідентифікованих за банківськими платіжними картками ПАТ «Приватбанк».

Цим документом СБУ прямо визнає, що сторонні особи втрутилися в систему веб-банкінгу «Ощад 24/7», замінили номер телефону пенсіонера на свій номер і, вже маючи можливість діставати паролі від банку на замінений номер мобільного телефону, вкрали гроші з рахунка пана Добровольського. До речі, о 6.54 того дня, коли пенсіонер планував іти в банк по гроші. Ідеальний злочин. За таких обставин у кожного клієнта «Ощадбанку», рахунки яких під’єднано до системи веб-банкінгу, вберегти свої гроші немає шансів. Жодних!

Але хто ці невловимі шахраї? Як їм вдалося проникнути у систему банку? І чому їхньою мішенню став пересічний 78-річний пенсіонер?!

СБУ навіть встановило, що обладнання, яким користувалися зловмисники, перебувало у місті Березані Київської області.

З одного боку, не дивно, що державна Служба безпеки України стала на захист іншої державної структури — «Ощадбанку». Ворон воронові ока не виклює. Дивує інше. Чому в СБУ немає жодних запитань до «Ощадбанку», у систему веб-банкінгу якого так легко проникли якісь пройдисвіти з Березані?!

Вимальовується така картина. Зловмисники здобувають вільний доступ до операцій з клієнтами державного «Ощадбанку», а дані карток їм, ймовірно, зливає хтось із працівників банку. Бо як можна пояснити, що, тільки-но гроші з депозитного рахунку пана Добровольського були перекинуті на поточний, пройдисвіти їх зняли?!

А тепер ми хочемо ще раз присоромити СБУ, яка спробувала у цій ситуації допомогти банку зробити винним пенсіонера, але, мабуть, через лінощі не спромоглася на практиці перевірити те, що написала. А ми перевірили. І, пане Андрейчук, вам саме час червоніти.

Отож, із листа начальника СБУ випливає, що, заволодівши даними рахунка пенсіонера (мабуть, йдеться про номер картки і т. д.), зловмисники здійснили «вивід коштів на електронні адреси рахунків Portmone». Звучить інтригуюче. Але абсолютно непереконливо.

Чому? Ми вирішили повторити операцію, описану в листі СБУ, — один до одного. Не змогли втриматися від спокуси, щоб «не погратися у зловмисників» і перевірити схему викрадення коштів клієнта «Ощадбанку» на практиці, пройшовши весь шлях, який пройшли злочинці, коли викрадали кошти пенсіонера Володимира Добровольського

Для початку тимчасово стали клієнтами «Ощадбанку» і ризикнули умістити на картковому рахунку цього банку 150 гривень. Для цього оформляємо картку в «Ощадбанку», яку під’єднано до системи «Веб-Банкінг 24/7», та який ідентифіковано з відповідним номером мобільного абонента.

Паралельно відкриваємо персональний акаунт на сайті Partmone.com. Із загальнодоступних функцій, які є на цьому порталі, обираємо «переказ між картками». Для того щоб ним скористатися, вводимо у відповідні віконця номер картки «Ощадбанку», термін її дії, та код CVV. З іншого  краю сторінки вводимо номер картки отримувача переказу. Саме ці дані своєї картки, за версією СБУ, 78-річний пенсіонер розголосив по телефону зловмисникам.

Виходить, що для здійснення платежу їх мало б бути достатньо для переказу грошей з картки.

Перевіримо. Вводимо суму переказу і натискаємо кнопку «сплатити», за мить  на екрані з’являться  нове вікно під назвою «додаткова перевірка», в якому мені запропоновано ввести перевірний код VCODE, та зображено зразок СМС від банку, в якому  повнен бути цей код. Для перевірки надійсності системи, не чекаючи СМС, замість коду вводжу випадковий набір цифр — нічого не виходить — на екрані з’являється напис — «Помилка проведення верифікації».

За кілька секунд приходить СМС з правильним кодом, який я набираю у відповідній графі. Тільки тоді з’являється повідомлення, що «операція успішно виконана», і гроші списуються з рахунка «Ощадбанку».

Звідси однозначний висновок, що без доступу до номера мобільника, «підшитого» до картки, та можливості прочитати код з СМС — неможливо переказати з картки «Ощадбанк»  навіть одну копійку. Здавалось би, супернадійна система, яка не зробить жодного кроку без твого відома і погодження. Але це лише тоді, коли ніхто не втрутився в систему «Веб-Банкінгу 24/7» і не поміняв даних про номер телефону власника картки, зазначивши номер мобільного телефону злодіїв, на який приходить СМС з відповідним кодом.

Зловмисники лекго проникли у банківську систему і замість номера телефону вкладника внесли номер свого телефону. Адже власне на номер власника рахунка повинні приходити СМС з паролем — при кожному успішному чи неуспішному вході у веб-банкінг. Змінивши в системі номер мобільника, шахраї домоглися, що пароль на переказ з поточного рахунка 32 тисяч гривень прийшов не панові Добровольскому, а їм.

Отже, наш виснвок дуже простий: навіть якщо ви ненароком розповіли зловмисникам реквізити своєї картки, але вони не мають доступу до вашого мобільника — ваші кошти мали б бути у безпеці. Утім ця історія доводить, що кожен із понад 1 мільйона 200 тисяч осіб банківського інтернет-сервісу — під загрозою. Чому? Бо зловмисникам не потрібен доступ до вашого мобільного телефону, вони, як встановила СБУ, проникають у банківську програму і замінють ваш номер мобільника — на свій.   Отже, немає впевненості, що, якщо завтра ви прийдете до державного банку, який позиціонує себе як надійний, забирати свої гроші, вам не скажуть, що вони безслідно зникли, і порадять звернутися до правоохоронців. А ті вже за відомим сценарієм будуть переконувати, що ви самі в усьому винні. А потім паритимуться в лазні й реготатимуть, як вміло прокрутили ще одну оборудку.