Сам я при слове "Сбербанк" сразу шарахаюсь в сторону и прикидываюсь ветошью. Пользуюсь его "услугами" только в одном случае: когда надо оплатить налог либо госпошлину. Потому что в разных госучреждениях и ведомствах на платёжные поручения из других банков часто смотрят яки баран на новые ворота и начинают нести какую-то околесицу. Но вот у некоторых из моих родственников, к сожалению, имеются сберовские карточки для получения зарплаты, от которых не так просто отбояриться. А я всё это безобразие иногда мониторю.
Ближе к концу прошлого месяца на электрическую почту приходит уведомление от "Сбербанк-Онлайн". Дескать, примерно в обед был вход от имени клиента (тёщи). Да даже не один, а целых два, с некоторым интервалом. Начинаю лихорадочно соображать, кто и каким образом мог получить туда доступ. Пароль есть только у меня, хранится исключительно локально в шифрованной паролехранилке. И пароль, и логин длинные и весьма "корявые", с цифрами. Попыток сброса / восстановления пароля не было, я бы о них узнал. Почту не ломали, там двухфакторная аутентификация включена. SIM-карту не клонировали, всё работало штатно, никаких перебоев и других странных симптомов замечено не было. Да и тёща моя — ни разу не олигарх, чтобы ради её скромной зарплатки имел бы смысл так подставляться.
Отдельно стоит упомянуть, что в пресловутых электронных уведомлениях не указывается ни IP-адрес, ни User-Agent, с которого был совершён вход. Только "паника-упячка-ололол", и всё. Вот сиди и гадай, что это было, называется. Практическая полезность таких ахтунгов поэтому стремится к нулю. Но это всё фигня. Дальше ситуация развивается ещё загадочнее.
Попробовал сам зайти под сабжевым аккаунтом. Получилось. Хм, странно. Если бы это был злоумышленник, то он первым делом сменил бы пароль на вход в систему. Но этого не случилось. В голове начинают зарождаться какие-то смутные подозрения. Продолжаю своё "расследование".
Через веб-морду "Сбербанк-онлайн" таки можно посмотреть IP-адрес последнего и только последнего входа в систему. Ну ладно, хоть что-то. Вижу там значение "77.108.107.69". WhoIS говорит, что это "COMCOR-OSP-DESS-WiFi-VPN-0402", Москва. Хм... С одной стороны, это точно не я. С другой стороны, и на хакеров как-то не очень похоже. Использовать "Комкор", да сети "родного" региона... Подозрения усиливаются.
Потом стал смотреть историю операций. Вроде ничего особо не пропало. Только вот две странные транзакции. Одна — переброска с карты на карту ста рублей. Вторая — какой-то загадочный "BP Billing Transfer RUS AUTOPLATEZH" на сумму в районе четырёх килорублей. Чешу репу всё яростнее.
Дальше смотрю лог операций через "Сбербанк-Онлайн" (ну хоть что-то он показывает). Вижу там создание одного черновика автоплатежа и создание двух (!) действующих автоплатежей. Один — трансфер между карточками, второй — оплата по счёту от ЕИРЦа за коммунальные услуги. Так, думаю, всё интереснее и интереснее.
При ближайшей возможности звоню собственно тёще и интересуюсь подробностями произошедшего в тот памятный день. Её рассказ пролил свет на произошедшее.
Оказывается, она ногами пришла в эту обитель зла с целью заплатить за квартиру наличными по бумажной квитанции. Тут её перехватывает "добрый" менджер зала и говорит "зачем вам так долго стоять в очереди в кассу, вы можете оплатить прямо с карты через операциониста". Она, не подозревая подвоха, подходит к операционисту, вручает ей квитанцию и карточку. А сотрудник, ни спросив разрешения, ни получив согласия клиента, вместо того чтобы просто взять и перевести деньги с карты в пользу расчётного центра, через "Сбербанк-Онлайн" активировал ей от её имени автоплатеж. А поскольку ни на одной из карт не было достаточной суммы, был оформлен и ещё один автоплатёж с карты на карту.
И ведь шосукахарактерно. Эти упыри со своих рабочих станций могут невозбранно логиниться в Сбербанк-Онлайн от имени любого клиента и делать там что угодно. И им для этого не требуется знать ни логин, ни пароль, ни разовые коды из SMSок. А теперь прикиньте, если на одном из таких десктопов "случайно" окажется какой-нибудь а-ля TeamViewer или любой другой софт для удалённого управления? Безопасность на грани фантастики.
Впрочем, это далеко не единственная "дырка". Например, из Android-приложения можно перечислять любым клиентам этого же банка суммы до 30 тысяч рублей вообще без каких-либо подтверждений. А если с SMS-подтверждением — то до 500 тысяч. Просто рай и раздолье для жуликов и мошенников всех сортов и размеров.
Особый прикол, как я эти автоплатежи потом отключал. Во-первых, система требует внимательно проверить реквизиты получателя платежа. В процессе деактивации, ага. Очень, знаете ли, важно внимательно проверить все данные того, кого удаляешь. Во-вторых, для отключения автоплатежа тоже требуется подтверждение SMS-кодом. Замечательно! Просто замечательно! Подключить, значит, можно тихой сапой, а отключить — только с сотней разных проверок. В-третьих, операционист в момент создания присвоил транзакционному шаблону имя "ПОДКЛЮЧЕНИЕ АВТОПЛАТЕЖА". Это что-то из серии << пароль="не скажу" >>. С первой попытки данное обстоятельство даже меня сбило с толку. Вот прикиньте, приходит на телефон SMSка с текстом типа: "Разовый код для отключения автоплатежа подключение автоплатежа 12345". Как минимум двухминутный ступор обеспечен.
Ну и да. Нет никаких гарантий, что пресловутый "автоплатёж" действительно дойдёт до получателя. И если этого не случится, то клиенту потом придётся довольно долго побегать, чтобы получить хоть какое-нибудь документальное подтверждение отправки денег. Помню, я как-то пытался вытряхнуть из сберовских операционистов твёрдую копию приходного платёжного поручения для своей бабушки. Всё хотел разобраться с источником и размером социальных выплат. Мне это так и не удалось. Девушки-обезьянки, конечно, работают там симпатичные. Но понять чего я от них хочу они так и не смогли.
Мораль сей басни такова. Если работодатель предложит перечислять вам зарплату на сберовскую карточку, лучше шлите его на **й сразу. А если так поступить по каким-либо причинам невозможно, то как можно быстрее выводите с такой карточки все деньги, как только стало известно об их зачислении. И не связывайтесь лишний раз с зелёным пакмэном. В этом мире существует уйма других банков, причём с куда более гуманными комиссиями за свои услуги.