Дело было в воскресенье вечером, за пару-тройку дней до Нового года. Я уже настроилась поработать последние денечки и уйти на каникулы - спать, есть и дать покой своей нервной системе. Как вдруг звякнул телефон этаким специфическим монетным звуком. Так звякает одно приложение ВТБ, как правило, когда снимаются деньги с карточки. Дзынннь!
Я прочитала пришедшее сообщение и ничего не поняла. Какой-то код. Я знаю про таких мошенников и решила, что он сейчас позвонит, этот плохой человек с добрым голосом будет выманиывать у меня код под разными предлогами. Мысленно приготовилась. Но он не звонил. Странно.
Спустя несколько минут я стала волноваться и снова посмотрела на сообщение с кодом. В тот вечер я вносила расходы в приложение, и заглянула в мобильный банк. Но я точно никакие коды не запрашивала!
Я стала внимательно изучать сообщение. Было странное ощущение, что я его не понимаю - какой-то набор букв и цифр. Но я не могла понять, почему так. Потом до меня дошло! Это было сообщение о транзакции на 1 единицу, но не рублей! Это был 1 мексиканский песо - 1MXN.
Речь шла о привязке карты куда-то. Транзакция на 1 единицу валюты, так всегда, когда к автоплатежам привязываешь карту.
Я стала искать в Гугл по набору букв вместо названия магазина, куда собственно ее привязывают. С трудом нашла, и оказалось, что это какой-то мексиканский оператор мобильной связи!
Но я все еще не понимала, что делать. Код пришел мне? Мне. Я его никому не говорила! Никому. Значит, я могу быть спокойна? Я не была уверена. И позвонила в банк.
В банке сразу предложили заблокировать карту и проверить последнюю транзакцию и баланс. Потом предложили заблокировать входы в мобильный банк, я отказалась, потому что не могла понять, с какой стати это делать. Было ощущение, что они просто стремятся снять с себя ответственность, не разбираясь, но записывая разговор. С балансом все было в порядке. А кредитный лимит этой карты был 320 000 рублей, на минуточку.
Но меня почему-то больше интересовало, чем я буду расплачиваться все длинные новогодние каникулы, если заблокирую карту. Ведь новая будет готова только после каникул - недели через две, ну или минимум 12 дней. Оказалось, что у меня была другая карта, неименная, к этому же счету, да и дебетовая карта есть. И есть немного денег дома - на продукты хватит. Как я была права, когда их припасла!
Дело было в предновогодние дни, когда многие собирались уезжать на каникулы заграницу. Я думала, как же мне повезло, что именно в этом году, я никуда не собиралась! У меня просто не было денег ехать, и я только недавно окончательно решила перестать жить за счет кредиток и выплачивать только один большой кредит. Но, тем не менее, везение невероятное. Иначе я была бы в очень затруднительном положении, если бы рассчитывала на эту карту!
Я заблокировала карту, заказала новую и отключилась. Но на карте осталась возможность ее пополнять, которая мне потом очень пригодилась при возврате средств за неиспользованный авиабилет . Кроме того, она же была кредитная, и на ней был плановый минус в пределах грейс периода, который я собиралась погасить после наступления нового месяца. Так я стала делать всегда, погашение сразу после поступления денег и наступления нового месяца.
Кроме прочего я спросила также у сотрудника банка, могли ли мошенники получить код и привязать карту? В банке ответили, что нет. Но Гугл мне рассказал, что СМС с кодом может перехватить вирус. Более того, Гугл рассказал о том, что можно сделать дубликат сим карты без ведома хозяина, и получить СМС с кодом на дубликат. Я проверила свои гаджеты на вирусы доктором Вэб, ничего не нашла и подуспокоилась. Как вдруг телефон снова звякнул монетным звуком!
Подряд посыпались несколько сообщений о транзакциях по карте. Дзыыыннь! Было страшно: я лежу дома на диване, а телефон бьется в судорогах, сопротивляясь отнятию у меня денег. Дзыыыннь! Все транзакции были на 1 MXN, и были отклонены банком. Дзыыыннь!
С одной стороны, мне было спокойно, ведь карта заблокирована, но это были уже СМС об отклоненных операциях. Коды не присылались. Я не знала, как это понимать. Было похоже, что карту все же привязали к телефону (в первом СМС был для этого код), а потом пошли этой картой платить. Но сумма операции 1 песо опять говорит, что ее пытаются привязать, им не удается, она заблокирована. По наименованию магазина я в Гугл нашла что все операции были на заправочной станции и месторасположения станции на карте нашла.
Адекватный вор должен был бы понять, что это фиаско. Но мой мексиканец этого не понял. Он переехал в другой город (я отследила это по карте) и 3 января на другой заправке попытался совершить операцию на 10 песо. Кто-то весело проводил новогодние дни. Операция снова была отклонена.
Сумма маленькая, значит, вор не знает, какой лимит у моей карты, пробует по минимуму? Значит, мои СМС они не перехватывают. И код они не получили, привязать карту не могли. Тогда на что расчитывали, привязывая карту к мобильному телефону? Они совсем идиоты, там всегда пишется, что на телефон направлен код, его нужно ввести.
Так примерно я размышляла над этими попытками меня обокрасть.
8 января этот мошенник снова попытался провести несколько транзакций на сумму 0, 5 песо, 0.01 песо, 0.11 песо. Дзыыыннь! Дзыыыннь! Дзыыыннь! Внес разнообразие, называется, в транзакции и в мою жизнь. Место операции я в Гугле не нашла. Место двух операций были похожи на компьютерную игру, а третья - снова на заправке. Операции были отклонены. Но я уже была лишена покоя.
Что ему еще нужно? В банке сказали, что карта помечена на изъятие. Но кто ее будет изымать в Мексике, и что будут изымать, если моя карта у меня? Что есть у вора? Дубликат карты? Ее номер? CVC? Мое имя? Пин кода точно нет, иначе он пошел бы сразу в банкомат с ее дубликатом. Вор предположительно пытался привязать карту к автоплатежам на заправках. Что это? Пропуск на платные дороги или только плата за бензин? Предположительно это автоматические заправки, без кассиров. Кассир ему сказал бы причину отклонения операции ("срок истек", так мне пишет СМС). Значит вор не видит этого сообщения или не понимает, что ему на мексиканском пишет автомат?
Вопросов было много, ответы я не знала, хотелось понять, чего еще ожидать. СМС об этих транзакциях приходили уже по ночам и я совсем потеряла покой и сон. Меня трясло на нервах. Я ждала каждую ночь это "Дзыыыннь!", и не могла отключить телефон.
Я читала форумы в поисках ответов на свои вопросы. И узнала:
То, что код в СМС можно перехватить, банки знают.
Что дубликат сим карты можно сделать, банки знают.
Что вход в мобильный банк по отпечатку пальца можно обойти, просто вытащив сим карту и вставив ее в другой телефон, банки знают.
То, что подтверждающий код приходит на тот же телефон, на который ставят мобильный банк, банки знают.
То, что даже телефонный звонок в банк можно перехватить вирусом и перенаправить на подставное лицо, банки знают. И человек, думая, что говорит с банком, потому что сам набирал его номер телефона, сам выдает мошенникам всю информацию для того, чтобы его обокрасть.
Вся система для физических лиц держится на соплях. Мы никак не защищены.
Вот чего я начиталась и себе надумала.
Я была в панике, еще бы, с моей тревожностью, в то время особенно повышенной!
Я задавала вопросы сотрудникам банка, но не получала ответа. На вопрос, нужно ли отдельный номер телефона для банковских смс оповещений, отвечали, что не видят смысла. При этом говорили, что знают о таком виде мошенничества, как замена сим карты на дубликат, но у них такого еще не встречалось. У них не встречалось, но если кто-то попадет, сам будет виноват? В офисе банка менеджеры еще меньше в курсе вопросов безопасности. Одна на вопрос о безопасности мобильного банка демонстративно дала мне свой телефон, попробуйте войти. Я что, должна была продемонстрировать ей навыки мошенничества? Проще всего сказать: "Заблокируйте карты, поменяйте коды". Сколько карт заблокировать? Все? Их у меня было примерно 10 штук разных карт в разных банках. В мобильных банках что поменять? Пароли? Но оставить их на том же телефоне? Поменять номер? Поменять смартфон? Поменять место жительства? Место регистрации? ФИО? Паспорт? Я не знала, что и где из всего этого фактически было скомпрометировано.
17 января. Дзыыыннь! Пришло очередное сообщение - отклонена транзакция на 7.56 BRL в магазине электроники. BRL! Бразильские реалы пошли!
После работы я зашла в один офис своего банка, позадавала вопросы, голова шла кругом. Закрыла некоторые карты, какую-то карту еще заблокировала. Заблокировать абсолютно все карты? Менеджер ответила, что некоторые так и делают.
Хорошенькое дельце! Ты, к примеру, на отдыхе за границей. И вдруг начинается эта чехарда, ты блокируешь все и остаешься без средств к существованию. Прекрасная перспектива!
Насколько я поняла на своем примере, человек, попадая в такую ситуацию, не понимает, где и как он мог скомпрометировать свою карту. А от ответа на вопрос "где и как", зависят все действия. Если данные карты были введены на подставном сайте (я грешу именно на это, припоминаю один сомнительный момент на сайте типа МТС или Ростелеком), то достаточно заблокировать одну эту карту, но ведь могут быть и другие варианты. И по телефону могут люди сами продиктовать номер карты, думая что разговаривают с банком. И окружение может оказаться нечестным, имеющее физический доступ к картам. Да мало ли что и когда случилось. Уверяю вас, что самый осторожный и предусмотрительный человек незаметно сам для себя может попасться.
Почему мошенник продолжает долбиться? Менеджер удивилась. Говорит, не должен, если карту заблокировали. Предположила, что все прекратится, когда я получу новую выпущенную карту, тогда старая окончательно должна быть закрыта. И нужно будет еще отключить ее от 3DS платежной системы, но возможно ли это в отдельности от другой карты по тому же контракту, не понятно. Там по ее мнению карты как-то не так привязаны к контракту. Если не прекратится, предложила писать письменные заявления в группу претензий.
Я сделала встречное предложение закрыть кредитную линию, чтоб не мучаться. Для себя решила, что закрою ее, если сообщения не прекратятся после получения новой карты. Но кредитный лимит скомпрометированной карты сильно уменьшила, чтоб не 320 тысяч было, а комфортный минимум для ежемесячных расчетов. Менеджер воспользовалась моментом и сразу предложила мне завести новую кредитную карту на крупную сумму, что я и сделала. Она мне пригодилась и при покупке ноут-бука перед изоляцией, и для оплаты услуг по стоматологии. Естественно, все это строго в пределах грейс-периода и, более того, уже имея на счету нужную сумму денег для погашения суммы задолженности по карте в любой момент.
Менеджер несколько раз повторила заученную фразу: "Мы не знаем как работают мошеннические схемы". Думаю, их безопасники это знают, но открещиваются. А про мои СМС она предположила, что это не человек, а робот делает, программа. Долбится не глядя, проверяет сразу все сворованные карты, на авось, ищет доступную карту, выпущенную без 3-D Secure.
Поменять логин и пароль мобильного банка? Менеджер не видела смысла. Говорит, если их перехватили и попытаются использовать на другом смартфоне, то пуш уведомления о попытке входа будут все равно приходить на мой смартфон. Тогда и блокировать входы можно. Только она не понимает, почему при включенных пуш-уведомлениях мне СМС с кодом пришло.
А потом неожиданно все стихло. Видимо, все же помогло получение другой карты к кредитной линии. Номер старой скомпрометированной карты я еще и сейчас вижу в мобильном банке, но только как номер, видимо, для того, чтобы его не забывать. Потому что совсем недавно мне на нее пришлось получить возврат 890 рублей из Аэрофлота, и об этой эпопее я писала здесь.
Я жила спокойно несколько месяцев, и радовалась практически одной карте в ежедневном употреблении, но потом мне это, очевидно, надоело, и я стала интересоваться дебетовыми картами других банков.
Можно конечно засунуть голову в песок и снимать всю зарплату в банкомате в день выплаты, расплачиваться налом, но при этом не получать желаемых услуг, бонусов, кэш бека и дохода. Но мне это не интересно.
Поэтому я завела несколько новых дебетовых карт на свою больную голову, и кручусь теперь снова между ними. О чем и расскажу в другой статье.