Как Сбербанк покрывает мошенников, теряет деньги клиентов и обманывает их, пытаясь скрыть дыру в безопасности банка

Эта история произошла со мной вечером 21 февраля 2022 года. Хотя дыра в безопасности Сбербанка существует уже не первый год. Если кратко - с карты любого клиента Сбербанка мошенники могут снять любое количество денег, зная только её номер. А банк уверяет, что деньги в безопасности если ты не раскрыл мошенникам CVV и срок действия карты. Но давайте по порядку.

В 21:09 я как обычно вела игровой стрим на своём YouTube-канале, как вдруг с карты начали списываться деньги. Точнее, происходило это так - первым приходит сообщение о том, что была попытка оплаты, но данные карты указаны неверно. А после этого оплата спокойно проходит. И так несколько раз подряд.

Никакой информации о Clarity Enterprises найти не удалось. Хорошо что на карте было всего 1100 ₽, так как пока я заметила списания и заблокировала её прошло 15 минут. При блокировке оператор банка взял с меня подтверждение, что я не давала согласия на проведение последних двух списаний. После чего сказал, что деньги вернутся после перевыпуска карты. На вопрос почему так случилось оператор ответил, что я где-то раскрыла свои личные данные.

Номер карты был написан у меня в описании стрима - на неё принимаются донаты на развитие канала. Но это, как мне казалось, не имеет значения, ведь по официальной позиции банков и экспертов по безопасности, списать деньги с карты, зная только её номер и ваше имя, невозможно.

Я начала думать где спалила мошенникам данные карты и CVV-код, который необходим для онлайн-оплаты. Но я никогда не устанавливала на свои устройства нелицензионных приложений, а все покупки совершались на крупных проверенных сайтах. Историю браузера просмотрела - никакой подмены не было. Да и в жизни не было ситуаций, которые позволили бы левому человеку сфотографировать мою карту с двух сторон.

На следующий день я была очень зла на себя от непонимания того, как я могла так по-глупому спалить свои данные и до сих пор не понять в какой момент это случилось. В попытках найти ответы я решила позвонить в банк для того чтобы подробнее расписать ситуацию и выяснить не было ли у них похожих случаев. Ведь само списание выглядело очень странно. Если мошенники знают мои данные, то почему приходила ошибка?

Внезапно при звонке выяснилось, что никаких денег после перевыпуска мне возвращать не собираются. Более того, для возврата необходимо в течение суток написать заявление об отмене операции в банк. То есть меня обманули, что деньги вернутся для того, чтобы я не успела написать заявление. Но да ладно, возможно, это недоразумение и недопонимание.

В ходе разговора оператор упорно продолжал говорить что была совершена онлайн-оплата с использованием данных карты, а значит я сама виновата, что спалила их злоумышленникам. От комментариев на тему того, что данные были введены неверно специалист поддержки воздерживался. Звонок не дал результата, разве что я узнала что деньги мне возвращать не собираются.

Но целью были не деньги, а раскрытие схемы, по которой мои данные утекли мошенникам. Понимая что в банке помогать мне не собираются, я начала искать похожие случаи и довольно быстро наткнулась на историю, которая повторяет мою, за исключением названия магазина и количества денег на карте.

Как выяснилось, эта дыра в безопасности известна ещё с 2020 года. Суть в том, что мошенники используют запрещённую в РФ систему платежей Stripe. Из-за некого бага, который описал пользователь vc.ru платежи через Stripe по картам Сбербанка проходят с любым случайно написанным CVV и сроком действия. Сбер, очевидно, просто не проверяет эти поля в транзакции или проверяет неправильно.

То есть злоумышленникам достаточно зарегистрировать свой интернет-магазин с платёжной системой Stripe, после чего получать номера карт и списывать с них деньги. Под угрозой общественные организации, музыканты, стримеры, организаторы ивентов и вообще все кто пользуется картой чтобы принимать на неё пожертвования.

Эта проблема известна с 2020 года. Не исправлять её это решение Сбербанка, хозяин - барин. Но вместо того чтобы честно предупреждать о том, что говорить кому-либо номер банковской карты небезопасно, они намеренно дезинформируют клиентов, говоря что была совершена онлайн-оплата с использованием CVV, хотя это не имеет значения. И, что уж совсем некрасиво, Сбербанк спихивает ответственность за дыры в своей безопасности на простых людей - своих же клиентов.

Уже зная всю эту информацию я начала звонить в банк ещё раз дабы получить адекватный комментарий и признание со стороны сотрудника в том, что это не я слила свои данные мошенникам. Но в ответ на все ссылки и аргументы сотрудник предложил мне написать заявление в полицию и сказал, что это преступление и заниматься им должны полицейские. Они же и будут решать по чьей вине деньги утекли с карты. Сотрудник банка подтвердил, что они не вернут деньги, если не будет заявления в полицию. Заметьте, как с каждым разговором появляется всё больше вводных и остаётся всё меньше шансов вернуть деньги.

Но вы не понимаете сути, уважаемый Сбербанк. Это не у меня украли деньги - их украли у вас. Да, это всё ещё мои деньги, но преступление совершено против вас и вы решили просто закрыть на это глаза - оплатить издержки за счёт клиента, свалить работу на полицию и никак не решать проблему. Что ж, если тысяча рублей для вас так важна - оставьте себе. Ой, забыла, у вас же её украли.

Я не стала писать заявление в полицию, потому что это проблема банка, а не полиции. И почему наш районный отдел должен ловить преступников на другом континенте из-за того что Сбербанк не может проанализировать и доработать формат транзакции мне абсолютно непонятно.

Но банк, судя по разговорам, абсолютно не заинтересован в защите данных клиента. Они так и не признали это своей проблемой. К чему это ведёт? Я перевыпущу карту Сбера, опять напишу её номер в описании стрима и деньги с неё вновь украдут. Как раз монетизация скоро выводится. Вот она - забота о безопасности средств клиентов. Не проще ли сразу честно говорить всем, что сообщать кому-либо номер карты небезопасно? Или вы думаете на второй раз пронесёт?

Таким образом, карты Сбербанка являются уязвимыми и, с моей точки зрения, не соответствуют Российским стандартам безопасности банковских карт.

Конечно, теперь сотрудники банка напишут, что о проблеме ничего не знали и первый раз с таким столкнулись. Но проблема эта в 2020 освещалась на куче сайтов, в том числе её обсуждали на банковских форумах.

Если вы знаете кого-то с такой же проблемой - пишите в личку или в комментарии. Если работают по стримерам и мой случай не единичный - будем сами расследовать. Ну и советуйте банк, по ходу, со Сбером не вариант сотрудничать, а жаль, все эти годы претензий к ним не было.