В основном все происходило по одной схеме: списания происходили в 5-6 транзакций на счета различных зарубежных организаций. Но были и нюансы. Например, обширная география получателей: Индия, Бразилия, Таиланд, ОАЭ, Британия и другие страны.
В июле-августе количество пострадавших стало быстро расти. Но среди жертв есть и те, у кого деньги списывались еще в январе, и они в одиночку пытались вернуть деньги, обращаясь в банк и другие инстанции. После нескольких постов в соцсетях, среди которых один получился особо резонансным, многие поняли, что они далеко не одиноки в своей беде и стали объединяться.
Фото: gov.kz
Связанные одной цепью
Сейчас жертвы финансового мошенничества создали свой чат, куда добавляют только пострадавших от загадочных банковских операций людей. Пользователи чата делятся своими историями, выкладывают скрины транзакций и ответы банка на их запросы, а также ответы различных инстанций, куда они обращаются.
На сегодняшний день в чате состоит 80 человек. При этом стоит отметить, что список каждый день пополнятся новыми жертвами, которые тоже пострадали раннее – 5-6 человек в день. Многие, как утверждают активисты, еще просто не знают про этот чат. Общая сумма списания у людей из чата составляет на сегодня порядка 27 миллионов человек.
При этом двое пострадавших все же добились от банка возврата на общую сумму 722 тыс. тенге. Остальным повезло меньше. Банк принимает у них заявление, но ответы финансовой организации не удовлетворяют его клиентов. В Халык банке считают, что многие люди стали жертвами фишинг-атаки по своей вине: они сами передали мошенникам свои данные, а также подверглись фишингу, переходя по сомнительным ссылкам от мошенников.
Люди протестуют против такого ответа, рассказывают свои истории. Кто-то действительно получал сомнительные уведомления. Но большинство, по их словам, не переходили по ссылкам. Есть и те, кто не пользовался приложениями и маркетплейсами, через которые происходило списание. Тем более, считают они, что массово за этот период стали жертвами мошенников именно клиенты одного банка.
Фото: pexels
Следствие ведут…
Объединившись, люди пытаются разобраться с ситуацией самостоятельно, сообща, обсуждая это в чате.Истории похожи: увидели, что со счета списана сумма (кто-то даже не с первой операции это заметил), люди пытались что-то сделать, но деньги исчезали со счетов на глазах, одна транзакция за другой обнуляли счет. Суммы пропажи разные – 150-200-300-500 тыс. У кого-то пропало 40-50 тыс., у кого-то шесть млн. Объединившись, люди также строят и свои предположения: что могло произойти и кто виноват. А также строят стратегию дальнейшей борьбы. Вопросов у клиентов к банку много.
Пострадавшие уверяют, что никому не говорили коды, пришедшие по СМС, все произошло само собой. И когда стали пропадать деньги со счетов, они растерялись, не имея возможности остановить этот процесс.
«Щелчок и у меня списываются деньги. Я не знаю, что делать, пока захожу в приложение, которое еле грузится, я просто смотрю как деньги улетают и ничего не смогла сделать», – рассказывает одна пострадавшая.
Другая пострадавшая Сабира Амантаева считает, что вклады банка должны быть застрахованы от потерь, как страхуют свои деньги банки, выдавая кредит:
«Они не дают гарантии, что с моей новой картой такое не произойдет. Ссылаются на то, что мы используем и даем свои данные незнакомым людям и используем их в маркетплейсах. Но извините, маркетплейсы везде есть. Так же, как и Яндекс.Такси, и другие подобные приложения, куда ты прикрепляешь карты».
Айгуль Кусаинова, потерявшая 273 000 тенге, рассказывает:
«Банк утверждает, что я сама подтвердила через приложение все операции. Но код безопасности от мошенников мне пришел 26 июля. Я его никому не говорила. А в итоге 6 августа, через десять дней, деньги списались. Хотя раннее, когда я делала переводы или покупки, мне приходилось подтверждать покупку через СМС, и только тогда деньги списывались. Почему тогда так произошло, почему в этот раз банк не защитил нас и не заблокировал транзакции?»
Фото: pexels
Вернут ли деньги?
Все пострадавшие фиксируют заявления в банке. Но многие, не удовлетворившись ответом банка, пошли дальше. Кто-то пытался обращаться в полицию. Одно такое заявление, со слов пострадавших, не было зарегистрировано в правоохранительных органах Алматинской области. В Астане, по заявлению одной из жертв финансовых махинаций, делу дали ход.Мы от имени редакции тоже написали запрос в полицию, а также в Агентство РК по регулированию и развитию финансового рынка и обязательно поделимся комментариями, когда получим ответы. Пострадавшие также обращались в это агентство. По утверждению одной из потерпевших, на ее запрос в агентство статус менялся несколько раз с 23 августа. Назначали ответственных, но ответ пока не получен.
В Халык банке обещают помочь и опротестовать операции клиентов. Увы, пока не ясно, получится ли вернуть деньги.
К этому моменту мы получили расширенные ответы из службы безопасности банка о том, как это могло произойти. Приведем их здесь:
«Конфиденциальные данные клиентов (реквизиты платежных карт) были скомпрометированы на фишинговых ресурсах.
В аналогичных обращениях других клиентов указано, что к ним на мобильный телефон поступили сообщения от неизвестных лиц, которые представлялись работниками сервисов доставки товаров. В сообщении злоумышленников указывалось: «Для доставки товара необходимо указать корректный адрес доставки и оплатить 150 тенге за пошлину и т. д.», для чего потенциальной жертве необходимо было перейти по вложенной в сообщении ссылке на фишинговый сайт (адрес сайта практически не отличался от адреса настоящего сайта).
На фишинговом сайте жертва вводила: свои персональные данные; реквизиты карты – номер карты, срок ее действия, трехзначный код CVV/CVC с оборотной стороны карты; одноразовый SMS-код, направленный на мобильный номер жертвы (код отправлялся в случаях добавления злоумышленниками карты жертвы к электронному кошельку Apple Pay или Google Pay).
Примеры сообщений с SMS-кодом: «Ваш код для активации Apple Wallet. Введите код в приложении Wallet на своем устройстве. Код действителен 30 минут».
«Ваш код для активации Google Pay. Введите код в приложении Wallet на своем устройстве. Код действителен 30 минут».
Злоумышленники, получив реквизиты платежной карты, совершали следующие операции:
• Добавляли карту жертвы к электронному кошельку Apple Pay или Google Pay на своих мобильных устройствах;
• Далее проводили покупки в терминалах торговых точек, расположенных за рубежом;
• Или совершали интернет-покупки у коммерсанта Facebook. Интернет-коммерсант Facebook не требует подтверждение интернет транзакций одноразовыми 3D Secure паролями.
Поэтому для проведения таких интернет-операций достаточно было только реквизитов, указанных на платежной карте.
Для подключения карты к электронному кошельку Apple Pay, Google Pay необходимо ввести реквизиты карты (номер карты, срок ее действия, код CVV) и подтвердить подключение одноразовым SMS-кодом, который будет отправлен на мобильный номер владельца карты».
Банк готов помочь, но не во всех случаях
Мы задали дополнительные вопросы банку и получили следующие ответы:– Могла ли произойти утечка информации от работников банка?
– Это исключено. Есть несколько подтверждений того, что в июле-августе 2024 г. на мобильные номера граждан РК направлялись мошеннические сообщения, в которых указывалось о необходимости внесения конфиденциальных данных для доставки товара.
Причем на данную уловку мошенников (фишинг) попались граждане РК, которые никаких товаров не заказывали, но из любопытства переходили по ссылкам на мошеннические сайты, где рассекретили данные своих платежных карт.
– Будет ли проведено внутреннее расследование в банке по факту утечки денег со счетов клиентов?
– По каждому такому факту Банком проводится расследование.
– Планируетcя ли как-то помочь пострадавшим?
– По результатам расследования банк проводит процедуру опротестования операций, в которых клиент отрицает свое участие. Сроки рассмотрения по данной процедуре регулируются правилами платежных систем Visa, Mastercard.
В большинстве случаев удается оспорить спорные интернет-транзакции и средства возвращаются на счета клиентов. Операции, совершенные с использованием сервисов Apple Pay, Google Pay, по процедурам МПС опротестованию не подлежат.
Согласно правилам платежных систем, подключение карты к сервису Apple Pay или Google Pay происходит с участием самого владельца карты, т.к. при подключении требуется ввести одноразовый SMS-код, отправленный на мобильный номер владельца карты.
– Есть случаи возврата пострадавшим денег. Банк все же решил возместить им ущерб. В каких случаях?
– По каждому подобному факту информация направляется в управление разрешения споров для опротестования спорных операций.
Возможно, по отдельным фактам удалось опротестовать операции и суммы. По спорным операциям таким образом деньги были возвращены банками-эквайерами, после чего суммы были восстановлены на картсчета клиентов банка.
*Эквайринг – банковская услуга по приему безналичной оплаты в торговой точке или интернет-магазине. Банк, предоставляющий такую услугу, выполняет роль эквайера.
– Как клиенты финансовых услуг могут себя обезопасить от подобных фишинговых атак?
– Не переходить по сомнительным ссылкам, направляемых посредством SMS-сообщений или мессенджеров (WhatsApp, Instagram, Telegram).
Для интернет покупок необходимо использовать виртуальную карту, которую необходимо пополнять непосредственно перед совершением интернет транзакции.
P.S.: Мы показали ответы банка клиентке банка. Асылай Жумагалиева, потерявшая свои деньги в числе других клиентов, комментирует это так:
«Нам дают стандартные ответы, что мы сами виноваты — вводили коды, даже если мы этого не делали. Много среди нас тех, кто никаких операций вообще не проводил, не передавал коды.
Если бы мы сами передали данные, мы бы понимали, что это наша вина. Но у многих снимали деньги ночью, когда мы спали, без каких-то уведомлений. У меня, например, кредитная карта строго контролируется через 3-D Secure (протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя). Даже если 10 000 тенге необходимо перевести, система запрашивает у меня 3-D Secure или СМС-код. Я всегда пользуюсь только 3-D Secure.
Код не может сохраниться у меня на телефоне и в компьютере. Я редко провожу оплаты в интернете, а когда провожу какие-то оплаты, приходит запрос. В этот раз такого не было, хотя сумма была больше, чем 10 тысяч тенге, там списывали семь раз по 40 долларов США».
Скандал только набирает обороты. Пока же в банке призывают быть предельно осторожными, переходя по сомнительным ссылкам и отвечая на запросы сторонних сайтов относительно банковских карт.
