Как я узнал об этом
Михаил Петрович — мой сосед по лестничной клетке в Пензе. Бывший слесарь, 68 лет, пенсия 22 600 рублей. Копил три года на операцию жене — откладывал с каждой пенсии, немного добавляли дети. К октябрю прошлого года на карте Сбербанка лежало 140 000 рублей.
Восьмого октября он лёг спать. Девятого утром открыл приложение — баланс 214 рублей. Смс о переводах за ночь пришли на старый номер, который он сменил два года назад, но забыл отвязать от карты.
Я узнал об этом случайно — встретил его в лифте. Он стоял с телефоном в руках и просто смотрел в экран. Мне стало не по себе.
Я попросил разрешения разобраться вместе. Он согласился. Вот что мы нашли.
Почему эта тема важнее, чем кажется
В комментариях под похожими историями всегда одно и то же: «сам не уследил», «надо было не держать всё на одной карте», «в наше время так нельзя». Люди обвиняют жертву быстрее, чем начинают разбираться в причинах.
Я решил не обвинять и не оправдывать — а просто посмотреть на механику. Изучал отчёты Банка России по несанкционированным операциям за 2023–2024 годы, материалы МВД по делам о краже с банковских счетов, разборы специалистов по информационной безопасности. Плюс — история Михаила Петровича, которую мы восстанавливали по выписке, по смс и по его памяти.
Оказалось: то, что случилось с ним — не редкость и не результат глупости. Это комбинация нескольких уязвимостей, каждая из которых по отдельности выглядит безобидно.
Уязвимость первая: старый номер телефона, который «уже не используется»
Вот здесь начинается самое неожиданное.
Михаил Петрович сменил номер телефона в 2022 году. Старый номер просто перестал использовать — симку выбросил, телефон убрал в ящик. Новый номер зарегистрировал в банке для смс-оповещений. Но старый номер к карте отвязать забыл. Просто не подумал.
Что происходит с брошенными номерами? Через несколько месяцев оператор передаёт их новым абонентам. Это стандартная практика всех российских операторов — МТС, Билайн, МегаФон, Теле2.
Новый владелец старого номера Михаила Петровича получал смс из Сбербанка. И в какой-то момент — либо сам, либо продав номер мошенникам — воспользовался этим.
Схема простая: на сайте банка нажать «забыл пароль», ввести номер карты (который мошенники узнали из базы данных), получить код подтверждения на «старый» номер — и войти в личный кабинет.
Тогда — лет восемь назад — банки не привязывали восстановление доступа только к номеру телефона. Требовались дополнительные проверки. Сейчас процедура упрощена — ради удобства пользователей. Удобство оказалось двусторонним.
По данным Банка России, случаи кражи через «брошенные» номера телефонов составляют заметную долю в общей статистике несанкционированных операций. Точную цифру банки не раскрывают — но специалисты по информационной безопасности называют эту уязвимость одной из самых недооценённых.
(Это важно помнить: если вы меняли номер телефона когда-либо за последние пять лет — проверьте прямо сейчас, какой номер привязан к каждому вашему банковскому приложению. Зайдите в настройки профиля и посмотрите. Это занимает две минуты.)
Михаил Петрович этого не проверял. Не потому что ленился. Просто никто никогда ему об этом не говорил.
Уязвимость вторая: все деньги на одной карте
Это не техническая уязвимость. Это привычка.
Михаил Петрович держал все 140 000 рублей на одной дебетовой карте. Та же карта, на которую приходит пенсия. Та же карта, которой он расплачивается в «Магните» и аптеке «Будь здоров» на соседней улице. Та же карта, реквизиты которой он когда-то вводил на каком-то сайте, уже и не вспомнить каком.
Тогда — когда карты только появились — люди держали на них немного, потому что не доверяли. Снимали наличные и прятали дома. Сейчас доверие выросло. Люди стали хранить на картах серьёзные суммы — накопления, отложенные деньги, «подушку безопасности».
Банки этому рады. Деньги на карте — деньги в обороте банка.
Но дебетовая карта — это не сейф. Это инструмент для ежедневных расчётов. И если к ней получают доступ — уходит всё, что на ней лежит.
Правило, о котором финансовые консультанты говорят давно, но которое мало кто применяет: расходная карта — отдельно, накопления — отдельно. На расходной карте — столько, сколько нужно на месяц. Остальное — на сберегательном счёте без карты или с отдельной картой, которую вы не носите с собой и не используете в интернете.
Михаил Петрович этого не делал. Потому что казалось: зачем усложнять? Всё в одном месте — удобно.
Удобно — пока удобно для вас. Потом то же удобство работает против вас.
Уязвимость третья: смс-оповещение вместо push-уведомлений
Это технический момент, но важный.
У Михаила Петровича было подключено смс-оповещение о транзакциях. Он платил за него 60 рублей в месяц. Казалось бы — всё под контролем.
Проблема в том, что смс приходили на старый номер. А на новый — нет. То есть всю ночь, пока деньги уходили тремя переводами по 46 000 рублей каждый, он не получил ни одного уведомления.
Разница между смс и push-уведомлением принципиальная. Смс привязано к SIM-карте — то есть к номеру телефона. Push-уведомление приходит в приложение, которое установлено на конкретном устройстве. Даже если мошенник знает ваш номер — push на его телефон не придёт.
Тогда — когда мобильный банкинг только появлялся — смс было единственным способом оповещения. Сейчас push-уведомления через приложение надёжнее и бесплатны. Но многие пожилые люди продолжают платить за смс по привычке, не зная о разнице.
(Здесь важная оговорка: push-уведомления работают только если приложение установлено и не удалено с телефона. Если вы переставили телефон или удалили приложение — уведомления пропадут. Проверяйте настройки после любых изменений в телефоне.)
В случае Михаила Петровича смс шли на чужой номер. Push-уведомления не были настроены. Утром он узнал о случившемся только потому, что сам открыл приложение.
Уязвимость четвёртая: сайты и сервисы, которым давно дали данные карты
Этот пункт самый неудобный. Потому что касается каждого.
Когда мы с Михаилом Петровичем начали вспоминать, где он вводил данные карты за последние три года — список оказался длиннее, чем он ожидал.
Оплата коммунальных услуг через сторонний сайт. Покупка лекарств в онлайн-аптеке. Заказ подарка внукам на каком-то маркетплейсе. Пополнение баланса телефона через агрегатор. Ещё что-то, уже и не вспомнить.
Каждый раз, когда вы вводите номер карты, срок действия и CVV на сайте — эти данные где-то сохраняются. Иногда в зашифрованном виде на защищённых серверах крупных сервисов. Иногда — в базах данных небольших сайтов, которые не обновлялись с 2019 года и взламываются за один вечер.
По данным Group-IB (российская компания по кибербезопасности), ежегодно в открытый доступ утекают сотни миллионов записей с данными банковских карт россиян. Часть этих данных продаётся на закрытых форумах. Часть — используется сразу.
Тогда — когда интернет-платежи только входили в жизнь — люди относились к этому осторожно. Сейчас мы вводим данные карты, не задумываясь. Это стало таким же автоматическим действием, как ввод пароля от Wi-Fi.
Проблема в том, что пароль от Wi-Fi можно сменить. Номер карты — сложнее.
Михаил Петрович не смог вспомнить все сайты, где оставлял данные. Я думаю, большинство из нас тоже не смогут.
Что происходит после того, как деньги ушли
Это раздел, о котором почти не говорят. А зря — он важнее всего остального.
Михаил Петрович обнаружил пропажу в 7 утра. В 7:15 позвонил на горячую линию Сбербанка. Карту заблокировали. Но деньги к тому моменту уже ушли — переводами, которые были совершены ночью.
Дальше начался процесс, который занял четыре месяца.
Шаг первый — заявление в банк. Подаётся в день обнаружения кражи. Банк обязан рассмотреть его в течение 30 дней (если операция была внутри России) или 60 дней (если с иностранным участием). Михаил Петрович подал заявление в тот же день в отделении на улице Кирова.
Шаг второй — заявление в полицию. Это важно. Без заявления в полицию банк имеет право отказать в возврате, сославшись на то, что уголовное дело не возбуждено. Михаил Петрович подал заявление в районный отдел МВД на следующий день.
Шаг третий — ожидание. Банк рассматривал заявление 28 дней. Потом прислал ответ: в возврате отказано. Основание — «операции были совершены с использованием корректных аутентификационных данных». Иными словами: кто-то вошёл в систему правильным способом, значит, это был «санкционированный» доступ.
С точки зрения закона банк прав. С точки зрения здравого смысла — нет.
(Это важно помнить: с 2024 года в России действует закон о «периоде охлаждения» для подозрительных переводов. Банки обязаны задерживать операции, которые система антифрода помечает как подозрительные, на двое суток. Но система сработала — или нет — в конкретном случае, мы так и не выяснили. Банк на этот вопрос прямого ответа не дал.)
Михаил Петрович нанял юриста — знакомого сына, который работает в Пензе. Написали претензию повторно, с ссылками на нормы ГК и закон о защите прав потребителей. Банк снова отказал.
Сейчас дело в суде. Перспективы, по словам юриста, «есть, но не стопроцентные».
140 000 рублей — деньги на операцию жены — лежат в чьём-то кармане. И пока мы с вами читаем эту статью, скорее всего, уже потрачены.
Что можно было сделать — и что можно сделать сейчас
Я не хочу заканчивать историей без практики. Вот конкретный список действий — не советы из интернета, а то, что мы с Михаилом Петровичем разобрали вместе после случившегося.
Первое — проверить привязанные номера телефонов.
Зайдите в каждое банковское приложение. Найдите раздел «Профиль» или «Настройки». Посмотрите, какой номер телефона там указан. Если это старый номер — смените немедленно. Это бесплатно и занимает пять минут.
Второе — разделить карты.
Одна карта — для ежедневных трат. Кладёте на неё столько, сколько нужно на неделю-две. Другой счёт — для накоплений. Без карты или с отдельной картой, которую вы не носите с собой.
У Сбербанка это называется «накопительный счёт». У Тинькофф — «копилка». У ВТБ — «накопительный счёт». Открывается бесплатно, деньги на нём не привязаны к карте.
Третье — включить push-уведомления.
Откройте приложение банка. Зайдите в настройки уведомлений. Убедитесь, что push-уведомления о каждой операции включены. Смс — дополнительно, если хотите. Но push — обязательно.
Четвёртое — поставить лимит на переводы.
Почти все крупные банки позволяют установить суточный лимит на переводы. В Сбербанке это делается через приложение: «Настройки» → «Безопасность» → «Лимиты». Поставьте сумму, которую реально тратите за день. Если мошенники получат доступ — они смогут вывести не больше этого лимита.
Пятое — двухфакторная аутентификация везде, где можно.
Госуслуги, банковские приложения, почта, к которой привязаны финансовые сервисы. Везде, где есть эта функция — включить. Это не гарантия, но это дополнительный замок.
Шестое — регулярно проверять выписку.
Михаил Петрович открывал приложение раз в месяц, когда приходила пенсия. Если бы он заходил раз в два-три дня — заметил бы раньше. Войти в приложение и пролистать последние операции — это две минуты.
А вот минусы — говорю честно
Я понимаю, что список выше звучит обнадёживающе. Но скажу прямо — несколько вещей в этой истории меня злят по-настоящему.
Во-первых, банки упрощают доступ к счёту ради удобства — и тем самым упрощают его для мошенников. Восстановление пароля по номеру телефона без дополнительных проверок — это удобство, которое стоило Михаилу Петровичу 140 000 рублей.
Во-вторых, банки снимают с себя ответственность формулировкой «корректные аутентификационные данные». Если кто-то зашёл в ваш аккаунт правильным способом — банк считает, что всё в порядке. Неважно, что это сделали мошенники, а не вы.
В-третьих, закон о «периоде охлаждения» — хорошая идея, но с дырами. Он работает для определённых типов переводов и определённых сумм. Не для всех. И система антифрода в банках настроена по-разному — где-то лучше, где-то хуже.
В-четвёртых, операторы сотовой связи раздают старые номера новым абонентам — и никак не уведомляют банки о смене владельца. Это системная дыра, которую никто официально не закрыл. МТС, Билайн, МегаФон и Теле2 работают по одной схеме, и ни один не несёт ответственности за последствия.
В-пятых, раскрываемость таких краж крайне низкая. По данным МВД, большинство дел о хищении с банковских счетов либо приостанавливается из-за невозможности установить виновных, либо тянется годами. Деньги к этому времени давно потрачены.
И главное: Михаил Петрович — не наивный человек. Он не кликал по спам-ссылкам, не разговаривал с мошенниками по телефону, не называл никому CVV карты. Он просто сменил номер телефона и забыл отвязать старый от карты. Одна мелочь. 140 000 рублей.
Итог: где выиграли, где проиграли
Где выиграли:
- Знание о «брошенных» номерах телефонов — это конкретная уязвимость, которую можно закрыть за пять минут
- Push-уведомления вместо смс — бесплатная и надёжная замена
- Лимиты на переводы реально работают как ограничитель ущерба
- Разделение расходной карты и накоплений — простая защита, доступная всем
- Закон о «периоде охлаждения» с 2024 года — шаг в правильном направлении
Где проиграли:
- Банки не несут ответственности, если мошенники вошли «правильным» способом
- Операторы раздают старые номера без уведомления банков — системная дыра без решения
- Раскрываемость таких преступлений — единицы процентов
- Вернуть деньги через суд — долго, дорого и без гарантий
- Система антифрода в банках работает неодинаково и не отвечает за ночные переводы с «корректной» аутентификацией
Вопрос к вам
Я думаю об этом часто. Михаил Петрович три года откладывал деньги по чуть-чуть. Каждый месяц — с пенсии, с подработок, иногда отказывал себе в чём-то. Чтобы жена поправила здоровье. Ушло за одну ночь.
Вы проверяли, какой номер телефона привязан к вашим банковским картам — особенно если меняли номер за последние несколько лет?
И второй вопрос, который я не могу выбросить из головы: если банк знает, что один человек не может за ночь сделать три крупных перевода подряд — почему он всё равно их проводит, а потом говорит жертве, что та сама виновата?
Напишите в комментариях — особенно если у вас или у ваших близких была похожая история. Чем больше людей об этом говорит открыто, тем сложнее банкам делать вид, что проблемы не существует.