Один крупный банк, доступ ко всем счетам клиента при наличии копии паспорта

в 13:13, , рубрики: безопасность, информационная безопасность, метки:

Доброго времени суток всем читающим и комментирующим.

Случилась со мной очень забавная история: однажды мне предложили сменить место работы на Сочи, конечно же речь шла об Олимпиаде, и, конечно же, я даже не мог подумать об отказе, к тому же в голове вертелась фраза: «Знал бы прикуп — жил бы в Сочи!» В действительности было очень интересно, что же это такое и как там все сейчас выглядит, к слову сказать, последний раз в Сочи я был в 1993 году в феврале месяце по путевке в санаторий. Согласился — улетел.

На новом месте работы мне выдали зарплатную карточку одного крупного банка — впринципе нет разницы особой на какую карту получать деньги, главное, что бы снять их было достаточно удобно — подумал я и стал ждать первую зарплату. Спустя какое-то время я получил смс на корпоративный мобильный телефон о пополнении счета. С этого момента начинается все самое интересное.

Была у меня и другая карта этого же банка — личная карта с милями от аэрофлота, спомощью которой я уже достаточно много успел полетать «на халяву», поэтому было решено перевести полученные средства с зарплатной карты на личную, дабы продолжить зарабатывание миль. Зашел в банк онлайн, выбрал карту списания, выбрал карту зачисления, указал сумму и нажал кнопочку перевода, ввел пришедший пароль подтверждения операции. Бац: «Указанная сумма превышает суточный лимит, установленный банком, Вам необходимо подтвердить данные операции в контактном центре нашего банка по телефонам...» — ну ладно, сумма действительно превышает суточный лимит, подтвердить — подтвердим. Звонок в контактный центр.
[Оператор КЦ]: Назовите, пожалуйста, номер карты списания.
[Я]: Да, конечно, <номер карты списания>
— Спасибо, уточните, пожалуйста, Ваши полные Фамилию, Имя, Отчетство
— Да, конечно, <ФИО>
— Спасибо, уточните, пожалуйста, кодовое слово.
— Кодовое слово? Интересно, какое может быть кодовое слово к только что выданной зарплатной карте? Фамилия? <называю свою фамилию>
— Да, все правильно, спасибо. Уточните, пожалуйста, Ваш адрес проживания по регистрации.
— А это-то зачем, ну да ладно <называю адрес проживания по регистрации>
— Спасибо, уточните, пожалуйста, последние 4 цифры номера паспорта.
— <называю последние 4 цифры номера паспорта>
— Спасибо, уточните пожалуйста дату рождения.
— <называю дату рождения>
— Хорошо, спасибо, уточните, пожалуйста последние 3 операции, совершенные по указанной карте списания.
— Эммм, я не знаю, карта новая, я знаю только об операции зачисления на сумму <сумма зачисления из смс>
— Правильно, спасибо, подтвердите, пожалуйста сумму перевода.
— Подтверждаю сумму перевода в размере <размер суммы перевода>
— Ваш перевод подтвержден, есть ли у Вас еще какие либо вопросы?
— Нет, спасибо.
— Спасибо за обращение… бла-бла-бла

Случилась достаточно интересная ситуация, перевод выполнен, за это спасибо, но мне выдали зарплатную карту, на которой кодовое слово — моя фамилия. Спасибо бухгалтерии, что не стали тревожить меня по столь мелким пустякам, как заполнение анкеты на зарплатную карту, но все-же — я же должен был расписаться хотя бы в анкете? Или нет?

Спустя месяц первая командировка, на всякий случай звоню проверить отсутствие запретов на использование личной банковской карты в нужной мне стране:
— Назовите, пожалуйста номер карты.
— <называю номер карты>
— Спасибо, назовите, пожалуйста, кодовое слово по карте.
— <называю свое старое кодовое слово>
— Извините, кодовое слово неверно.
— <называю свою фамилию>
— Спасибо, уточните, пожалуйста номер паспорта.
… дальше называю все на автомате, уточняю об ограничениях использования карты, ну и заканчиваю разговор.

Кодовое слово на моей личной карте изменено, изменено на мою фамилию, я его не менял 1000%, к тому же для его замены требуется писать заявление, а я не писал заявлений в один крупный банк уже года 2 как.

Было решено провести небольшое исследование.
Суть исследования: получение доступа к счетукартам интересующего человека в одном крупном банке.
Инструменты: зарплатный проект, корпоративный мобильный телефон, копия паспорта. Прошу обратить внимание на то, что только копия паспорта должна быть оригинальной, а все остальное может быть получено стандартными законными средствами.
Жертва: я сам.

Я был фиктивно устроен «где-то в Сибири» на работу в компанию брата с зарплатным проектом в одном крупном банке. Бухгалтерия оформила мне зарплатную карту без моего участия просто по скану моего паспорта, в анкете было указано иное кодовое слово, так же в анкете было заявлено подключение мобильного банка и банк онлайна на корпоративный мобильный телефон все той же Сибирской компании (все было подконтрольно брату).

Спустя 2 недели на Сибирский мобильный телефон пришла смс с уведомлением о выпуске карты, бухгалтерия карту успешно забрала из банка и передала брату, спустя еще неделю на карту перевели зарплату. Затем на новую карту был активирован доступ в банк онлайн, где успешно отображались все мои счета и существующие карты — ведь банк автоматически по ФИО и паспортным данным ассоциирует все Ваши счета с Вашей новой картой и наоборот. Через этот же аккаунт была успешно произведена операция по переводу суммы с моей личной карты на мою новую Сибирскую зарплатную карту в размере не превышающем дневной лимит с подтверждением по смс на номер телефона, привязанный к Сибирской зарплатной карте. Финиш. Я получил уведомление в виде смс на свой личный телефон о списании средств со своей личной карты уже после списания средств.

Резюме: для того, что бы получить доступ к счетамкартам в одном крупном банке интересующего Вас человека, Вам необходимо иметь копию его паспорта, затем нужно открыть юр.лицо, заключить договор с этим крупным банком на зарплатный проект и выпустить нужному человеку дополнительную карту, о которой он, возможно, ничего не будет знать до тех пор, пока не увидит новую карту в банк онлайне или не обнаружит изменение доступных средств на картесчете. Наверное не стоит упоминать о том, что этот крупный банк рассматривает жалобы клиентов все в той же письменной форме и за все те же пар месяцев, при том, что деньги могут быть сняты через банкомат или потрачены с карты уже через пару минут после перевода с карты на карту.

Пожалуй единственная проблема, которая может возникнуть — если Вы захотите подтвердить сумму перевода, т.е. если Вы захотите перевести больше суточного лимита, или суточный лимит уже выбран, тогда Вам необходимо будет еще знать и номер карты списания.

Данная информация была озвучена сотрудникам одного крупного банка чуть менее года назад, на что я получил ответ: «Пишите официальный запрос, банк рассмотрит вашу заявку в течение 2-х месяцев.» Я пытался выяснить на каком основании было изменено кодовое слово на моей личной карте — ответ тот же: «Пишите заявку, ответим в течение 2-х месяцев.»

Мне оказалось достаточным того, что произошло, поэтому я больше не являюсь клиентом этого банка, но в пятницу я вновь услышал от одного из своих новых сотрудников ругательство в адрес все того же крупного банка по поводу изменившегося кодового слова на личной карте, т.е. впринципе ничего не изменилось — сотрудник получает зарплатную карту, бухгалтерия продолжает оформлять заявления на зарплатную карту без участия сотрудников, банк продолжает принимать подобные заявления и успешно их обрабатывать.

Я прекрасно понимаю, что в произошедшем есть вина и бухгалтерии, которая автоматом заполняет заявления на выдачу зарплатных карт, но я не понимаю банк, который это все допускает.

Да, возможно Вы спросите, где взять копию паспорта?
Ну что же, я Вам отвечу — в любом месте, где Вы могли делать копию паспорта, заявление на кредит, оформление мобильных номеров, проживание в отелях и прочее.

P.S. если кто-то узнал вдруг свой банк в этом посте, то обратите внимание на то, что имеет смысл пересмотреть процедуру общения с клиентами, которые не против указать об ошибках в работе банка — не заставляйте их писать заявления, чем проще будет процедура получения подобной информации, тем быстрее Вы ее будете получать.

Автор: mrMendoza

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js