24 вересня 2024 року на електронну пошту українки, яка перебувала в Німеччині, надійшов лист-повідомлення про нетиповий вхід в її акаунт з чужого мобільного телефону. Одразу після цього жінка виявила, що її SIM-картка заблокована, а вхід у мобільний застосунок банку недоступний.
Клієнтка фінустанови зателефонувала на “гарячу лінію” банку з мобільного номера сина, щоб заблокувати рахунки. Її дзвінок було відхилено, зі службою підтримки вдалось поспілкуватися лише через деякий час. На той час банківські рахунки жінки вже були заблоковані, а перед цим з них зняли понад 113 тисяч гривень (109 607,17 гривні кредитних коштів та 3 862,92 гривні — особистих). Жінка звернулася із заявою до правоохоронних органів. Ті з’ясували, що зловмисники, які використовували дублікат її SIM-картки, перебували у Миколаївській та Одеській областях.
Тим часом банк нарахував їй відсотки за використання кредитного ліміту та штрафні санкції. Тож клієнтка фінустанови звернулася у Хортицький районний суд міста Запоріжжя із позовом до банку, вимагаючи стягнення з нього втраченої суми, скасування нарахованих відсотків за використання кредитного ліміту та штрафних санкцій, а також виплати компенсації.
Під час розгляду справи адвокат позивачки повідомив, що при проходженні верифікації шахраї надавали неправильні відповіді на запитання служби підтримки банку. Зокрема, щодо вулиці проживання власниці рахунку та її місця працевлаштування. При нетиповому вході в акаунт банківського застосунку це мало бути підставою для блокування платежу. Тим часом представник відповідача наполягав, що відповіді на ключові “кодові слова” надано правильно. Сама ж позивачка повідомила, що інший банк, у якому вона мала відкриті рахунки, у цій ситуації зреагував одразу, заблокувавши їх.
Через шість місяців з часу викрадення коштів жінці почали погрожувати колектори, вимагаючи повернення суми, яку вона фактично не брала. А тим часом суд став на бік банку, аргументуючи тим, що спірні перекази були підтверджені через фінансовий номер до моменту звернення клієнтки на “гарячу лінію” фінустанови. Також у судовому рішенні зазначено, що незаконне списання коштів стало можливим через неналежний захист клієнткою свого фінансового номера. Представник позивачки готується оскаржувати це судове рішення.
— У цьому випадку йдеться про ступінь захисту банком персональних даних клієнта, про перевірку осіб, які звертаються дистанційно до фінустанови щодо підтверджень фінансових операцій. Якщо у справі немає доказів того, що клієнт якимись своїми діями або бездіяльністю сприяв наданню інформації, необхідної для здійснення фінансової операції, то питання захисту номера мобільного телефону не може бути основним, — вважає Денис Димитрашко, адвокат клієнтки банку. — Враховуючи недосконалий механізм захисту банківських рахунків, це виглядає дещо абсурдно.
— Але саме те, що номер мобільного телефона використовувався клієнткою банку знеособлено, тобто анонімно, а не був закріплений за конкретним користувачем, призвело до викрадення коштів, — запевняє Сергій Якушев, адвокат, який є представником банку. — Позивачка не зробила все необхідне для захисту свого фінансового номера. Тобто не зареєструвала його у свого мобільного оператора. Нині фактично всі оператори пропонують своїм клієнтам завчасно убезпечитися від шахраїв — перейти на контракт або зареєструвати свій номер “на паспорт”.
А що кажуть експерти?
“Для отримання доступу до інтернет-банкінгу людини у шахраїв має бути її мобільний номер і можливість переглядати SMS-повідомлення, — пояснює Віталій Якушев, експерт із кібербезпеки. — Тобто потрібний доступ до SIM-картки. Мобільний оператор у випадку її заміни просить користувача надати певну інформацію. Наприклад, дані про набрані номери, дати поповнення рахунку тощо. Аби отримати таку інформацію, шахраї вдаються до різних схем. Можуть телефонувати жертві так, щоб вона віддзвонила (важливі саме вихідні дзвінки, а не вхідні). Або ж самі поповнюють рахунок мобільного номера на декілька гривень.
Іноді мобільні оператори використовують як один із кроків захисту від шахраїв відправлення SMS-повідомлення на номер користувача, який замінює SIM-картку. Бо якщо ця картка активна, а власник не здогадується, що хтось хоче її замінити, то, побачивши надіслане повідомлення, може заблокувати спробу заміни, надіславши SMS у відповідь або зателефонувавши у call-центр.
До речі, послуга заміни SIM-картки доступна також у додатках мобільних операторів. І шахраї цим користуються. Імітують застосунок оператора й надсилають повідомлення із посиланням на цей фейковий додаток. На підробленому сайті людина вводить свій номер телефону. Шахраї вказують його на справжньому сайті. Тим часом власник мобільного номера отримує SMS-повідомлення із кодом для підтвердження входу. Тож вводить на фейковому сайті ще й код. Шахраї перехоплюють його і вводять на справжньому сайті. У такий спосіб заходять у реальний акаунт жертви, де можуть подавати заявку на перевипуск SIM-картки. Якщо їм вдасться отримати доступ до SIM-картки, до есемесок, то зможуть дістатися і до інтернет-банкінгу та коштів жертви або до якихось інших сервісів, що прив’язані до номера телефону”.
