Как нам прекратить телефонно-банковское мошенничество

Аватар пользователя денис74

Недавно один из камрадов опубликовал пост про постадавшего от мошенников генерала. За неделю нашли гражданина Украины, который получал деньги в банкомате.

Тема мошенников активно работает и пострадавших очень много.

У меня тоже есть, что сказать по данному вопросу.

Не так давно маме одного знакомого (кстати юриста) так же позвонили по телефону. Она отправила коды и в результате Сбер повесил на неё кредит - около 300тыс рублей. 

Знакомый попросил помощи у моего товарища и коллеги - можно ли хоть что-то сделать?

Дело, по всей ранее имевшейся практике, проигрышное. Банк это же священная корова.

А человек всегда стоит на ступеньку ниже. Это по жизни, на самом деле. По закону все равны, но Банк заведомо в более выигрышной позиции, в состязательном то процессе.

Человек, обычный и простой, не обладает ресурсами банка, у него нет своего отдела, а то и нескольких, из профессиональных юристов, которые "собаку съели" и "трактор переговорят".  

Да и присутствует в обществе мысль, что банк это же Банк, у них всегда всё правильно. Мысль, на самом деле, глубоко ошибочная.

Товарищ взялся за дело. Я принимал участие в обсуждении и ситуации и возможных путей решения. Поэтому информация достоверная и практически из первых рук. Сразу скажу, что вероятность благоприятного исхода по таким делам практически отсутствует, естественно если Вы не генерал какой-нибудь. Единственным путем было - делать всё, что возможно и как следует, а там...  Все всё прекрасно понимали.

Заявление в милицию и в суд.

В милицию понятно по факту мошеннических действий. Но тут тоже не всё так просто, анализ практики показал, что раньше людям отказывали иногда даже в возбуждении уголовного дела. Вот если бы украли, то тогда... А на Вас просто кредит оформили - Вы же ничего не потеряли. Логика - огонь, конечно.

В суд заявление - а какое? Признавать кредитный договор незаключенным, Что кажется логически верным т.к. мама его не подписывала ? Там и нет никакого подписания, на самом деле.  Вам высылаются на телефон коды для активации кредитных отношений и когда Вы их вводите в личном кабинете перегоняют деньги на счет.

И моментом именно заключения кредитного договора следует считать момент ввода кода в личном кабинете. Да у мамы-пенсионерки был(есть) личный кабинет в Сбере.  

Пришли к выводу о необходимости подачи заявления о признании сделки недействительной. Всё дело в правовых последствиях. При признании недействительной есть возврат сторон в первоначальное положение, а при незаключенности - нет.

Судья в районном суде искренне хотела разобраться в ситуации. Суд у нас конечно беспристрастен, но судьи тоже человеки и им не чуждо. И удовлетворила абсолютно все заявленные ходатайства. 

Банк естественно ходил со спокойной мордой (являлись в процесс, что само по себе не всегда бывает). У нас всё правильно, мы же Банк, нам пофиг. Коды запросила, отправила сама невесть кому или неотправляла - нам не ведомо, потом с её телефонного номера зашли в личный кабинет и оформили кредит и деньги куда-то отправили. А истица просто кредит отдавать не хочет  поэтому и пошла в суд и в милицию(полицию). 

По ходатайствам была истребованна инфа из банка - техническая, какие телефонные номера, айпи, время операций. Из телефонной компании - звонки с маминого номера, привязка к станции во время операций.

Банк дал инфу - мама заходила со своего телефона и айпи в этот день. А вот коды на выдачу кредита пришли с её телефонного номера с другим(чужим) айпи. Сделали запрос в Ростелеком кому принадлежит данный айпи - отписка в ответ. Самостроятельно на специализированном сайте нашли за кем числится диапазон айпи адресов, в который попадает айпишник. В подмосковье конторка. Сделали распечатку скринов прямо с  данного сайта. Приложили к ходатайству - запросить информацию по этому айпи.  Судебный  запрос в эту контору - они прислали данные с кем был заключен договор аренды на данный айпи действовавший во время операции. Фамилии, номер телефона и адрес эл.почты. 

Ходатайство о проведении технической экспертизы. Изначально предполагалось, что на компьютер пострадавшей была установлена вирусная программа. Но всё оказалось не так - жулики действовали со смартфона с андроидом. Номер постадавшей был эмулирован. И по техническим данным Банка она сначала связывалась с банком со своего телефонного номера с одним айпи(настоящим), а потом отдавались команды - вводились коды с этого же номера телефона, но с другим айпи, с тем самым который в указанный период некое лицо арендовало у подмосковной конторки.  

Банк не смутило наличие разных айпи у одного и того же телефонного номера.

По первой инстанции - отказ в удовлетворении исковых требований. Ожидаемый. 

А вот в областном суде ситуация стала интересней.  

По статистике процент отмен во второй инстанции крайне не велик. И никто не питал никаких иллюзий - просто делали, что должны. Иногда это самый лучший вариант.

Судьи выслушали позицию сторон - и ушли в совещательную комнату. Вышли минут через 40 (это долго для данного дела, обычно быстрее - оставить решение без изменения, жалобу без удовлетворения), и говорят - продолжаем заседание - тут у суда вопрос возник.

- А что у Вас с уголовным делом? 

- Признали потерпевшей. Идет следствие.

- В материалах дела нет данных из  уголовного дела. А давайте затребуем суду, для ознакомления материалы уголовного дела. Откладываемся.

Было уже два отложения - следователи ссылаются на тайну следствия. Суд настаивает хотим увидеть - сами судьи, не участники. 

Документы по признанию потерпевшей получены у следователя и уже приобщены к делу.

Следующее заседание назначено на конец апреля.

В заголовке я указал - как нам прекратить телефонно-банковское мошенничество.  Перехожу к  раскрытию сути.

Банки должны начать терять свои деньги.

До этого момента они просто не заинтересованны что либо менять.  У банков есть профессиональные безопасники, программисты, юристы как свои штатные, так и привлеченные со стороны. Но им даже не ставится задача обеспечения 100% достоверности и безопасности.  А зачем? Когда все денежные средства банк компенсирует за счет пострадавших граждан. Только убытки и желательно массовые заставят банки решить данную проблему.

А решается она в пять секунд. 

Например - Привязывать к клиенту не только номер телефона, но и айпи.

Изменился айпи - клиент ножками приходит в любой филиал банка с паспортом и пишет личное заявление.

Это моё мнение как не профессионала, у Банков штат профессионалов и если им поставят задачу, они её очень быстро могут решить, этим, или каким-то другим способом. Профессионалам виднее как.

Признание потерпевшим по возбужденному уголовному делу - это очень важно, для данной категории дел.

Государство в лице правоохранительных органов прежде всего пришло к выводу о самом факте совершения преступления и возбудило уголовное дело, после проведенной проверки. Затем государев человек - дознаватель, следователь, судья изготовил юридически значимый документ - постановление о признании потерпевшим по уголовному делу. С этого момента у постадавшего меняется правовой статус - круг прав и обязанностей.

Я бы с точки зрения государства именно на этом бы и остановился - признано лицо потерпевшим   -  удовлетворять требования о признании сделки недействительной. 

Убытки у Банка? Ну так пишите сами теперь заявление на признание Вас - Банка потерпевшими.

Когда найдут преступников - тогда уважаемый Банк взыскивайте с них. 

Не хотите терять деньги? Сделайте так, чтобы этого избежать. А как?  Вам, Банку, виднее.

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Был момент с ходе процесса. Человек сам запрашивал коды для активации. И ему(ей) на телефон банк эти коды выслал. Человек передал эти коды жуликам. И вводили их уже жулики. 

Так вот возник вопрос какой момент является моментом заключения договора.

Момент запроса кодов не может быть моментом подписания, т.к. человек может их вводить или не вводить.

Следовательно моментом заключения в данном случае кредитного договора следует считать момент ввода кодов. А человек этого не делал. Следовательно кредитный договор - не подписывал( по аналогии с бумагой).

Банк настаивал - типа ну и что? И банку привели пример - прихожу к вам в банк с другом - протягиваю вам свой паспорт, вы удостоверяете личность - я. готовите договор и передаете мне на подпись. я передаю договор другу - подписывает договор ОН, не я. Устроит вас такой договор?

Конечно нет - говорит банк.

Так здесь же то же самое. Вы не можете достоверно установить лицо с которым вступаете в договорные отношения. 

 

 

П.С. Государство должно создать ситуацию, при которой банки начнут, защищая прежде всего свои финансовые интересы ,  изменять существующую систему.  Ко всеобщему спокойствию и порядку.   

Комментарии

Аватар пользователя medward
medward(10 лет 9 месяцев)

Вопрос навскидку: а какой IP предлагаете привязывать к клиенту?

Аватар пользователя Офисный планктон

Можно привязывать хотя бы группу IP из региона, откуда работает клиент. Подавляющее большинство людей не ездят по стране.

Аватар пользователя joho
joho(10 лет 5 месяцев)

Всё гораздо проще. Банк обязан по первому заявлению клиента о мошенничестве возвращать ему деньги. И после этого может открывать уголовное дело и расследовать его так, как считает нужным.

Аватар пользователя DonPaule
DonPaule(10 лет 1 неделя)

ДА!

Аватар пользователя zag
zag(9 лет 9 месяцев)

в штатах так и делается, банки по звонку возвращают деньги, а потом уже проводят расследование. У нас законы абсолютно все мошеннические действия вешают на пользователя и тот сам трахается и доказывает , что он пострадавший. 

У меня только в январе стырили 18 000  с карточки, для оплаты в интернет магазинах. Причем светил карту в этот же день только на сайте Госуслуг, платил за загран !!! Спасибо добрым интернет магазинам iHerb и Nike Ру - они вернули, банк даже не почухался, хотя я им написал заказное письмо. Коды верификации не приходили, оказывается такое возможно.

Аватар пользователя Veritas
Veritas(7 лет 10 месяцев)

Достаточно ввести мораторий, на день-два-три, на движение полученных кредитных средств у физлица.
И дополнить это обзвоном. В том числе ближайшего родственника.
Или что для заключения окончательно, договора, нужно набрать в банк по такому-то номеру.
Короче, придумать можно, что угодно. Но гандоны ростовщики этому будут противиться. 
Не удивлюсь, если это все, в том числе, с их подачи.

Комментарий администрации:  
*** Отключен (дезинформация, невменяемое общение) ***
Аватар пользователя cr4zyr0m
cr4zyr0m(11 лет 3 месяца)

Автор не совсем грамотен технически, IP привязать нельзя т.к. он постоянно меняется. Привязывать надо IMEI телефона, он относительно секретен и привязан к железу. То есть с другого телефона в мой банк уже не зайти. Как это сделано в Бразилии: чтобы запустить интернет банкинг на телефоне, надо с телефоном пойти в отделение банка, там менеджер (сотрудник короче) проверяет личность (документ, паспорт) и выдаёт разовый код. Вводим при нём в программу и только после этого можно на телефоне манипулировать своим банковским аккаунтом. Если покупаем новый телефон - надо всё заново (хотя вроде есть опция в привязанном телефоне создать новый код самому, для нового телефона). Ну и да, ответственность за всё на банке, поэтому банк и старается нормальную безопасность обеспечить.

Аватар пользователя joho
joho(10 лет 5 месяцев)

Не надо учить банк, как он должен работать по своим процедурам. Надо принуждать банк к тому, что бы предлагаемые им регламенты были эффективны и безопасны для общества.

Банк вполне может взаимодействовать с клиентом через приложение на телефоне, где пятнадцать раз может разъяснить суть проводимой операции, перед её совершением. Банк легко и просто может принуждать клиента завершать операцию на том устройстве, с которого он её начал и довести до сведения клиента детали и последствия того, что он делает.

Клиент банка ВЫНУЖДЕН пользоваться регламентами, разработанными банком. Клиент не может их игнорировать. Если правила проведения операций банком допускают снятие средств с клиента в пользу преступников, значит банк занимается финансированием преступной деятельности. Если банк занимается финансирование преступной деятельности, то его лицензия может быть приостановлена до тех пор, пока регламенты не будут изменены и такие операции станут невозможными. Если банк этого не понимает, то суд обязан ему об этом сообщить

Аватар пользователя Охри
Охри(4 года 1 день)

Можно привязывать хотя бы группу IP из региона, откуда работает клиент. Подавляющее большинство людей не ездят по стране.

Мне кажется, не важно, какой IP, но он должен быть одинаковым и тогда, когда запрашивались коды и тогда когда вводились. В этот промежуток времени. Если ты перезагрузился и сменил IP, ну, запроси еще раз, рука не отвалится 

Комментарий администрации:  
*** уличена в пресмыкательстве перед западом - https://aftershock.news/?q=comment/15023167#comment-15023167 ***
Аватар пользователя Fantom.net
Fantom.net(8 лет 2 месяца)

И перед каждой поездкой в отпуск/командировку уведомлять банк в письменном виде?

Аватар пользователя Офисный планктон

Если клиент при заключении договора о предоставлении ему дистанционного управления своим счётом просит о повышенным мерах безопасности, то пусть приходит в офис банка, показывает паспорт и говорит, в каком регионе и на какой срок ему предоставлять доступ к его банковскому счёту. Потом подпись. Всё.

Если клиент при заключении договора отказывается от дополнительной защиты, то банк не будет контролировать, откуда осуществляется управление счётом клиента.

Аватар пользователя LeonidSh
LeonidSh(4 года 2 месяца)

Зачем.

Просто оформление сделать протекающей в рамках одной интернет-сессии. Вышел из интернета - начинай сначала.

Относится разумеется к тем, кто у своего провайдера ip не покупал.

У кого фиксированный, им можно послабление.

Аватар пользователя Офисный планктон

Это должно быть само собой разумеющееся. Но ведь можно открыть сессию повторно, уже с другого IP.

Аватар пользователя Офисный планктон

И про MAC-адрес автор не знает.

Аватар пользователя medward
medward(10 лет 9 месяцев)

Вы бы еще и про IMEI вспомнили. Я пользуюсь банковской программой на 3-х устройствах, какой МАК будете привязывать?

Аватар пользователя ДК
ДК(11 лет 5 месяцев)

все три. не вижу проблемы.

Аватар пользователя segerist
segerist(12 лет 2 месяца)

IP MAC IMEI

ребята о чем вы?

В подавляющем большинстве случаев мобильный клиент получает IP адрес из "серого" диапазона и "выходит" в интернет через NAT оператора связи.

Аватар пользователя kokunov
kokunov(12 лет 3 недели)

Да и MAC IMEI не является панацей, все эмулируется. Одно время админил античиты на серваке контры, как только народ не изгалялся. 

На мой взгляд тут только как минимум двухфакторная авторизация действий нужна. Может биометрия в этом поможет. 

Как вариант - заставить ОПСОСы, да и других операторов связи производить мониторинг активности устройств по MAC IMEI в сети и блокировать IP из нехарактерных регионов (или хотя бы уведомлять - примерно так делает вконтакт и майл.ру). Правда тут сразу же передаем привет любителям VPN и прочего, бггг

Опять же, у того же Газпромбанка есть функция ограничения действий со счетом/картой по типам действий (наличный, безналичный расчет, снятие денег, оплата через интернет) и регионам (китай, азия и пр..). Я думаю, что и остальным не сложно сделать подобное. - вот это на мой взгляд может существенно решить проблему телефонных мошенников.

Аватар пользователя Офисный планктон

Да и MAC IMEI не является панацей, все эмулируется.

Это когда знаешь, что и как эмулировать. И пароль тоже эмулируется, причём очень просто. Только узнать его сложно.

Аватар пользователя kokunov
kokunov(12 лет 3 недели)

Скажем так - кому надо, тот знает. а уж тем более если на этом деньги имеет.

Аватар пользователя Офисный планктон

Только если мошенники смогли получить доступ к чужому смартфону посредством "вируса" или скачанной и запущенной своей программой благодаря тупому клиенту. Но согласитесь, что это сильно усложняет работу мошенников и уменьшает количество обманутых ими людей.

Аватар пользователя tgz
tgz(8 лет 4 месяца)

Биометрия не нужна, достаточно смарткарты. С юриками собственно так и работает.

Аватар пользователя AnGeL_Knight
AnGeL_Knight(8 лет 5 месяцев)

У сбера подобная функция вроде как тоже есть... где-то в настройках безопасности раньше видел.

Аватар пользователя лабиринт разума

для начала неплохо бы понимать, что МАС - это адрес канального уровня, за пределами домашней сети не виден. 

Запросить IMEI через приложение технически можно, но как быть с устройствами у которых нет GSM подобного модуля? Как быть с его эмуляцией, как и телефона...  

Все делается проще, заявка на кредит онлайн может оставляться только по предварительному письменному заявлению, а деньги по ней становятся доступны либо через кассу СБ в любое время, либо через 7 рабочих дней, но не ранее подтверждения ее оператору человеку. А то выходит, что прежде чем бутылку молока мне привезти мне звонит и сборщик сбермаркета, и курьер... а кредит оформляют тихо, без шума и пыли. 

Аватар пользователя pcmag
pcmag(12 лет 1 месяц)

IMEI некоторые банки привязывают к номеру телефона с которого происходит SMS-подтверждение. Довольно эффективно получается.

Аватар пользователя лабиринт разума

как банк запрашивает IMEI с удаленной стороны?

Аватар пользователя kokunov
kokunov(12 лет 3 недели)

Через свое приложение.

Аватар пользователя лабиринт разума

если там свое приложение, причем тогда sms?

к номеру телефона с которого происходит SMS-​подтверждение

получается, что в подтверждающем смс должен быть imei телефона. вот и возник вопрос :) 

 

Аватар пользователя pcmag
pcmag(12 лет 1 месяц)

Досконально не разбираюсь, но такое впечатление, что imei цепляется к смс. Объясню. Поломалась сим-карта. Поменял на новую в ближайшем пункте Мегафона. Тел. номер сохранился. Теперь на сутки Мегафон морозит подключение смс-сервиса для безопасности. На след. день в Совкомбанке у меня перестала проходить смс авторизация. Причем, для смс у меня отдельный телефон - старая нокиа. Приложение банка на другом телефоне с сим-картой другого оператора. Диагностика выдавалась мутная, но догадаться, что дело в imei было можно. Час висел в чате. Заставили селфиться с паспортом в зубах. Скинул им новый imei. Заработало.

Аватар пользователя Офисный планктон

Нет, IMEI есть у радиомодуля телефона/смартфона. У симки есть свой уникальный идентификатор, который видит сотовый оператор. Видимо и банк видит, раз замечает подмену симки.

Аватар пользователя pcmag
pcmag(12 лет 1 месяц)

да. Не знаю как номер сим-ки правильно называть. Он на ней написан. Его я сообщил в банк.

Аватар пользователя денис74
денис74(4 года 7 месяцев)

Я много про что не знаю. Но специалисты должны знать. Главное их правильно замотивировать.

Аватар пользователя essamu
essamu(6 лет 9 месяцев)

Электронная подпись решает такие проблемы. Правда нужно инфраструктуру внедрять для массового пользования, но оно того стоит в долгосроке. Использовать смс-код (введенный в дырявом андроиде, где совершенно любое приложение может быть с вшитой бякой) для признания кредитного документа действительным - это жесть какая-то, раздолье даже для мамкиных хакеров, не говоря уж о серьезных спецах.

Аватар пользователя ded-pixto
ded-pixto(8 лет 2 месяца)

гы... в кнопочной звонилке \за 300р\ дырявого андроида нет, а СМС с кодом есть

Аватар пользователя Тохx
Тохx(5 лет 8 месяцев)

Сейчас научились с электронной подписью кидать. Даже удобней чем без нее оказалось.

Аватар пользователя Simurg
Simurg(7 лет 1 месяц)

Значит, она криво сделана. Должна быть сделана нормально.

Комментарий администрации:  
*** Уличен в клевете и ложном цитировании, отказ принести извинения - https://aftershock.news/?q=comment/11527284#comment-11527284 ***
Аватар пользователя Medved075
Medved075(6 лет 2 месяца)

Какая еще подпись, надо изначально смотреть - с какого перепугу у абонента сбера имеющего _дебетовую_ карту, в личном кабинете всякие кнопки "дать мне миллион". 

Это как вообще?  Никаких кредитов в онлайне быть не должно физически пока абонент лично не зайдет в банк с заявой ему это все открыть. 

Аватар пользователя денис74
денис74(4 года 7 месяцев)

Согласен. Многие комментаторы озвучивают мысль - нужно прийти в банк и заявить, что только лично проводить операции.

А должно быть наоборот - все операции изначально только лично и на бумаге - хочешь в электронном виде, тогда приходи и пиши заявление на онлайн обслуживание.

Аватар пользователя essamu
essamu(6 лет 9 месяцев)

тогда приходи и пиши заявление на онлайн обслуживание.

Не по современному это, идти куда-то (точнее ехать, тратить драгоценный бензин), стоять в очереди, дышать ковидами всякими, чтобы поставить свою закорючку на клочке бумаги

Аватар пользователя Офисный планктон

Считаю, что для заметных сумм это следует делать (тратить время, бензин, стоять в очереди и т.д.). Причём, для разных клиентов "заметная сумма" будет разной.

Аватар пользователя essamu
essamu(6 лет 9 месяцев)

Обычная электронная подпись, я использую для удаленного подписания документов. Очень удобно, знаете ли :)  Пускай будет кнопка, что в ней такого? Банковский продукт = кредит, почему он не должен его рекламировать? Другое дело, что при нажатии на кнопку нужно высылать документ для подписания, но никак не смс код. Это нулевая защита от хакинга. Вопрос в том, почему сбер не написал и не внедрил приличную антифрод систему. Безалаберность или диверсия?

Аватар пользователя ДК
ДК(11 лет 5 месяцев)

кстати мак адрес уникальный для каждого устройства. вполне за ID сойдёт

Аватар пользователя Vneroznikov
Vneroznikov(12 лет 3 месяца)

Не сойдёт. Сейчас многие мобильные устройства динамически могут менять и меняют MAC (не IMEI !) - это совершенно штатная технология. Кстати, придуманная тоже для защиты.

Аватар пользователя ShadowCat
ShadowCat(8 лет 1 месяц)

Я вам больше скажу - имеи тож может подмениться хоть это и наказуемое деяние

Аватар пользователя Vneroznikov
Vneroznikov(12 лет 3 месяца)

Конечно, я в курсе. Но это не штатное действие.

Аватар пользователя ShadowCat
ShadowCat(8 лет 1 месяц)

При должном гешефте такие нештатные вопрос полшинеля) 

Аватар пользователя XS
XS(9 лет 10 месяцев)

И как это оно наказуемо? Если можно, ссылку, или хотя бы название статьи административного или уголовного кодекса, по которой пойдет заменивший имеи. Ну и интересно, были ли уже прецеденты наказания за подмену.

Аватар пользователя ShadowCat
ShadowCat(8 лет 1 месяц)

ст. 175 «Приобретение или сбыт имущества, заведомо добытого преступным путем», ст. 272 «Неправомерный доступ к компьютерной информации» и ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ».

Но привлечь по ним к ответственности только за смену IMEI сложно, но не говорит что невозможно. 

Аватар пользователя XS
XS(9 лет 10 месяцев)

В случае с ворованным устройством, конечно можно и эти статьи притянуть. Правда учитывая принцип поглощения меньшего наказания большим - мартышкин труд.

Но как эти статьи применить, если делаешь замену имея на своем? Вообще не представляю.

Аватар пользователя ShadowCat
ShadowCat(8 лет 1 месяц)

273 ч1 ук.

Но как вы точно заметили - мартышкин труд. Но и с другой стороны было бы желание, привлекут. 

Страницы