Как мошенники украли деньги, зная только номер карты Сбера
острадавший клиент Сбербанка рассказал, как мошенники смогли снять деньги с его карты только по номеру, без CVC и кода подтверждения по SMS.
Клиент Сбера получил 4 сообщения с номера 900 о покупках в магазине BYEACCENT NKR LLC на суммы 177 и 187 долларов. В первом говорилось об отказе в проведении операции (Срок действия карты истек или указан неверно). Во втором указали сумму списания. Деньги действительно списались, рассказал Саркис Антонян.
После этого клиент позвонил в банк, чтобы отменить операцию или оформить чарджбэк (процедура оспаривания платежа по банковской карте, с которым человек не согласен). В службе поддержке Сбера утверждали, что ничего нельзя сделать. Клиент попросил соединить его с начальством, которое подтвердило, что оформить чарджбэк можно. Но ответ обещали дать через две недели. При этом процедура возврата может занять около 120 дней. Кроме того, подача заявления не означает, что его примут и деньги вернут.
Клиент решил провести собственное расследование. Он нашел получателя денег в интернете (магазин был указан в эсэмэс), связался с владельцами сайта BYEACCENT NKR LLC и выяснил странное. Они заявили, что готовы вернуть деньги и сослались не некое недоразумение. Из разговора мужчина предположил, что они знают того, кто расплатился по его карте. Он все-таки выяснил подробности истории.
Некий программист написал владельцам, что нашел «уязвимость» на сайте. Она заключалась в том, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам, которые продается на сайте. Он думал, что сайт дает доступ к продукту без оплаты. Но оказалось, что деньги реально могут списаться у владельца карты, номер который случайно подобрали.
В истории с клиентом вышло так, что программист наугад набрал реальный номер карты. При этом срок действия и CVC (три цифры на обороте) не совпали. Но Сбербанк пропустил такую операцию.
Получается, что достаточно знать номер банковской карты, чтобы расплатиться ею в магазине. Предположительно, если в них подключена платежная система Stripe, которая позволяет принимать оплату в разных валютах. Мошенникам достаточно зарегистрировать LLC в США, создать фейковый интернет-магазин, подключить Stripe и через покупки в магазине они смогут списывать деньги с чужих карт.
Чтобы не стать жертвой интернет-мошенников, стоит следовать нескольким правилам.
Первое: для любых платежей и приема средств на карту заведите виртуальную карту, которая будет пополняться под необходимые траты. Все остальное время она должна быть пустой. Второе: нигде «не светить» номер банковской карты. Сейчас многие пишут номер карты в объявлениях о продаже, в блогах, в аккаунтах соцсетей. Однако пора запомнить, что это опасно!