Украли деньги с пластиковой карты, защищенной 3D-secure кодом

[SLASH_id]

Ну начнем с того, что Евгений Касперский не оказывает техническую поддержку, не помогает вылечится от вирусов и так же врядли даст экспертную оценку по данному вопросу.

 

Второе. 3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. То есть ничто немогло помешать трояну-шпиону перехватить с клавиатуры введение данного кода как и номера кредитной карты.

 

Что умеет вирус::

 

перехват исходящего трафика к сайтам организаций, предоставляющих услуги онлайн банкинга, социальным сетям, почтовым серверам и т. д. с целью похищения данных аутентификации;

ведение лога клавиатурного ввода;

блокирование работы антивирусных программ.

 

 

 

Фишка 3-D Secure в том, что при платеже проверяются следующие вещи: домен продавца и банка, в который перечисляются деньги, домен банка, выдавшего карту и домен совместимости предоставляемый кредитной организацией (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола. То есть чтобы деньги при платеже ушли туда куда вы этого хотите а не на подложный сайт маскирующийся под продавца.

 

Таким образом все данные вашей карты в том числе и постоянный 3d secure код попал в руки злоумышленников.

Скорее всего Вам не удастся обвинить во всем банк ибо безопасностью конфиденциальных данных в том числе номера карты, кода 3d secure, cvv кода и пр. должен озаботиться пользователь. В вашем же случае по недосмотру ПК был заражен и данные как и деньги утекли.

 

Вы же не сможете обвинить банк если у вас кто-то физически украдет карту с пин-конвертом?

 

 

 

Сообщение от модератора Tiare

Часть сообщений перенесено из данной темы

Изменено 29 ноября, 2012 пользователем Tiare

[vpv]

Добрый день!

Очень нужна ваша экспертная помощь. У меня украли через интернет кредитные деньги (130000 руб.) с пластиковой карты. Карта была подключена к системе 3d-secur c постоянным кодом. Так на официальном сайте банка услуга 3d-secur фигурирует везде под названием "безопасные оплаты в интернете" или " оплаты в безопасном режиме"и описывалась как система, защищающая от компроментации данных карты, я смело использовала ее для оплат в интернете. 6 октября 12г. я обнаружила, что на карте нет денег ( всего кредитного лимита), я была обескуражена, обратилась в банк, мне карту заблокировали; 8 октябля ( когда транзакции появились в выписке по счету) я написала заявление о спорных транзакциях и в милицию. Потом уже на работе запустила компьютер и поставила его на глобальную проверку вирусов. Антивирус поймал такой вирус Trojan-Spy.Win32.SpyEyes.(...) ( расширения были из 4 букв, все разные). Узнала, что это вирус - шпион, который умеет считывать нажатия клавиш. Могли ли мошенники с помощью этого вируса считать данные карты, в том числе и 3d-secur код? И вообще, делает ли 3d-secur с постоянным кодом оплаты в интернете безопасными и защищает ли от посягательств подобных вирусов.

 

Ответьте, пожалуйста. Банк обвиняет во всем меня и требует вернуть деньги. Планирую подавать в суд и обвинить банк в дезинформации и неправильном преподнесении информации по своим услугам.

Вы мне очень поможете своим ответом.

 

С уважением, Афонина Э.В.

 

Я, конечно не, Евгений Валентинович, но все же. Если у вас в банке "3d-secure c постоянным кодом" - то вирус-троян легко мог украсть все пароли и коды. В крупном Российском банке(с зеленым логотипом), например, используют только переменные коды 3D Secure, получаемые по СМС.

Для безопасных платежей надо использовать два средства из состава Kaspersky Internet Security - безопасные платежи и виртуальную клавиатуру.

Изменено 27 ноября, 2012 пользователем vpv

[elza-za]

Ну начнем с того, что Евгений Касперский не оказывает техническую поддержку, не помогает вылечится от вирусов и так же врядли даст экспертную оценку по данному вопросу.

 

Второе. 3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. То есть ничто немогло помешать трояну-шпиону перехватить с клавиатуры введение данного кода как и номера кредитной карты.

 

Что умеет вирус::

 

перехват исходящего трафика к сайтам организаций, предоставляющих услуги онлайн банкинга, социальным сетям, почтовым серверам и т. д. с целью похищения данных аутентификации;

ведение лога клавиатурного ввода;

блокирование работы антивирусных программ.

 

 

 

Фишка 3-D Secure в том, что при платеже проверяются следующие вещи: домен продавца и банка, в который перечисляются деньги, домен банка, выдавшего карту и домен совместимости предоставляемый кредитной организацией (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола. То есть чтобы деньги при платеже ушли туда куда вы этого хотите а не на подложный сайт маскирующийся под продавца.

 

Таким образом все данные вашей карты в том числе и постоянный 3d secure код попал в руки злоумышленников.

Скорее всего Вам не удастся обвинить во всем банк ибо безопасностью конфиденциальных данных в том числе номера карты, кода 3d secure, cvv кода и пр. должен озаботиться пользователь. В вашем же случае по недосмотру ПК был заражен и данные как и деньги утекли.

 

Вы же не сможете обвинить банк если у вас кто-то физически украдет карту с пин-конвертом?

Я не собираюсь обвинять банк в том, что из-за него украли данные карты. Я хочу обвинить его за то, что он меня, как потребителя, ввел в заблуждение . Свою 3 d-s он представляет дословно "БЕЗОПАСНЫЕ ОПЛАТЫ В ИНТЕРНЕТЕ", а потребитель верит. А получается, что это не соответствует действительности, т.е. банк меня обманул. Это нарушение закона о защите потребителей. Кроме того банк был обязан предоставить безопасную услугу, т.е. 3 d-s должен был быть с переменными кодами. Я уж даже не рассказываю как вел себя банк, когда я сообщила о краже. А вирус, который я обнаружила, даже в базе данных Касперского оказался позже, чем произошла кража, т.е. антивирус его распознал только после обновлений.

 

В любом случае, спасибо за ответ. А потребителей, у кого украли деньги с карт много и 70% из них выигрывают суды с банками. Я, как потребитель, достойна честного преподнесения информации об услугах и обеспечения безопасности пользования ими. К сведению, с 1 января 2013г. за кражи с карт будет в ответе банк по закону. Все деньги, украденные с карт, они обязаны будут возвращать в течение суток, а потом уж искать виноватых. Вот тогда банки может и задумаются, как обезопасить клиента и себя. А сейчас они "умывают руки".

Изменено 28 ноября, 2012 пользователем vpv
орфография!

[пользователь]

с 1 января 2013г. за кражи с карт будет в ответе банк по закону

Банки, это такие организации, которые никогда не бывают в минусе...

И если вы думаете, что проблема будет решена путем найма частных дефективов для поиска злоумышленников, то вы сильно заблуждаетесь.

[elza-za]

Банки, это такие организации, которые никогда не бывают в минусе...

И если вы думаете, что проблема будет решена путем найма частных дефективов для поиска злоумышленников, то вы сильно заблуждаетесь.

Нет, частных детективов нанимать не буду, пусть этим занимается полиция. Мне достаточно в суде дать доказательства, что это не я снимала деньги.

Изменено 29 ноября, 2012 пользователем Tiare
орфография

[пользователь]

Нет, частных детективов нанимать не буду, пусть этим занимается полиция. Мне достаточно в суде дать докозательства, что это не я снимала деньги.

А я бы, на месте банка, попытался бы доказать, что всему виной ваша халатность. Как оно на самом деле и было. Банк же не виноват, что ВАШ компьютер был заражен вирусами? Банк же не обязан лечить ВАШ компьютер от вирусов? Банк же не виноват, что по ВАШЕЙ халатности данные ВАШЕЙ карты стали известны злоумышленникам?

 

PS. Хотелось бы посмотреть, что это будут за "докозательства".

[_Strannik_]

elza-za, В вашем случае ( и в суде тоже) вам не помешала бы бумага из какого либо экспертного отдела о том что ваш компьютер был действительно заражен вирусом шпионом. Который гипотетически смог передать секретные пароли и пр инфу злоумышленнику. И конечно удачи и терпенья вам в этом нелегком деле.

[elza-za]

elza-za, В вашем случае ( и в суде тоже) вам не помешала бы бумага из какого либо экспертного отдела о том что ваш компьютер был действительно заражен вирусом шпионом. Который гипотетически смог передать секретные пароли и пр инфу злоумышленнику. И конечно удачи и терпенья вам в этом нелегком деле.

спасибо за поддержку!

Данные и справки о заражении, отчеты антивируса о поимке вируса и даже папочки, которые вирус сформировал, я передала в полицию. Только заведение уголовного дела в этих случаях - дело долгое, кропотливое. Моим вопросом сначала занимались на местном уровне, потом на областном, сейчас занимаются в отделе "К" в Москве. Жду возбуждения уголовного дела. Буду надеяться на лучшее. В любом случае суд уж теперь состоится в следующем году, а пока собираю бесконечный ворох бумаг, делаю запросы.

 

А я бы, на месте банка, попытался бы доказать, что всему виной ваша халатность. Как оно на самом деле и было. Банк же не виноват, что ВАШ компьютер был заражен вирусами? Банк же не обязан лечить ВАШ компьютер от вирусов? Банк же не виноват, что по ВАШЕЙ халатности данные ВАШЕЙ карты стали известны злоумышленникам?

 

PS. Хотелось бы посмотреть, что это будут за "докозательства".

Вы очень ко мне агрессивны, тыкаете меня в помарки, как первоклассницу.

Моей халатности тут нет. На компьютере стоит лицензионный Касперский, он постоянно обновляется, компания платит за него огромные деньги. А тот вирус, который был обнаружен у меня, вообще был занесен в базу данных и в обновления 5 октября этого года ( это в описании вируса, в вирус-листах на сайте компании ). Можете сами глянуть 'Trojan-Spy.Win32.SpyEyes.agdp' . Кража с карты совершена тоже 5 октября 2012г.

Банк виноват в том, что неправильно мне информацию донес о "безопасных оплатах с карты в интернете". Посмотрела бы я на вас в такой ситуации, как у меня. Уверенна, что с вашим нахрапом также отстаивали свои права, а не "схавали" повешенный на Вас мошеннический кредит. Только Вам не пережить никогда столько нервов, сколько мне - беременной на 7 мес., лишенной заработка на следующие 1,5 года.

А докАзательства у меня будут. С полицией просто нужно дружить и вести с ними человеческий диалог.

Таких, обворованных, как я полным полно. И многие суды с банками выигрывают. Если интересно Вам лично могу прислать 5 решений судов по всей России. Суды не выигрываются только в Москве, там у банков все на мази.

Изменено 29 ноября, 2012 пользователем Tiare
орфография

[_Strannik_]

В вашем случае главное доказать что это не вы брали деньги, а кто виноват пусть разбираются соответствующие органы. Отдел "К" или банк или кто-то другой, это уже не ваши проблемы. А суды действительно выигрываются, только стоит это очень больших нервов, денег и прочего.

[пользователь]

Вы очень ко мне агрессивны, тыкаете меня в помарки, как первоклассницу.

Модераторы, похоже, уже устали править ваши "помарки":

Сообщение отредактировал vpv - 27.11.2012, 17:22

Причина редактирования: орфография

Сообщение отредактировал vpv - Вчера, 11:52

Причина редактирования: орфография!

Только так я могу объяснить, что "докозательства", "передада", "облостном" и позже - никто уже править не стал. Будьте, пожалуйста, внимательнее, относитесь с уважением к тем, кто будет читать написаное вами.

 

Моей халатности тут нет.

Именно ваша халатность. Если взломали замок - это вина производителя замка, а если кто-то сделал дубликат ключей и этим дубликатом открыли замок, то это уже вина хозяина квартиры.

 

На компьютере стоит лицензионный Касперский, он постоянно обновляется, компания платит за него огромные деньги.

Небось корпоративный? И, скорее всего, старый добрый KAV WKS 6? Дык, он совершенно не заточен для защиты личных банковских карт.

 

А тот вирус, который был обнаружен у меня вообще был в базу данных и в обновления занесен 5 октября этого года ( это в описании вируса в вирус- листах на сайте компании ). Можете сами глянуть 'Trojan-Spy.Win32.SpyEyes.agdp' . Кража с карты совершена тоже 5 октября 2012г.

И что? Попал в базы - это одно, а когда ваш антивирус получил эти базы - это уже совсем другое.

 

Банк виноват тем, что неправильно мне информацию донес о "безопасных оплатах с карты в интернете".

А что неправильно в этой информации?

Вроде все верно - вам обещали, что без ваших данных деньги не украдут.

 

Посмотрела бы я на вас в такой ситуации, как у меня. Уверенна, что с вашим нахрапом также отстаивали свои права, а не схавали повешенный на Вас мошеннический кредит. Только Вам не пережить никогда столько нервов, сколько мне - беременной на 7 мес., лишенной заработка на следующие 1,5 года.

Поздравляю вас с будущим пополнением в семействе и одновременно соболезную по поводу кражи у вас денег.

 

Вам лично могу прислать 5 решений судов по всей России. Суды не выигрываются только в Москве, там у банков все на мази.

Если честно - я верю вам на слово, что это действительно так. Но банк же тоже не виноват, что злоумышленники по вашей халатности узнали реквизиты вашей карты? Банк же не несет ответственность за чистоту вашего компьютера от вирусов?

[Maratka]

Суды не выигрываются только в Москве, там у банков все на мази.

Честно сказать, сомневаюсь.

Потому как хотел бы я видеть московские банки без филиалов. И провинциальные, без офиса в Москве..

 

p.s.

Я на данный момент нахожусь в Севастополе.

И тут есть как минимум:

1) Банк Москвы

2) Сбербанк России

3) Альфа-банк

[Nesser]

Банк виновен в краже денег со счёта и халатности elza-za здесь нет. elza-za, доверила свои деньги банку, тот взял обязательства по их хранению, предоставлению соответствующих услуг и защите их при предоставлении своих услуг. Банк также использует описанный способ защиты банковских операций, инструкции на который дал клиенту. Клиент их в точности выполнила. Клиент также защитила свой ПК. Но метод защиты операций от банка оказался неэффективен. Банк не знал и не сообщил, что меры принимаемые для защиты ПК клиента из-за слабости метода защиты банка неэффективны и требуют дополнительных ухищрений. В итоге банк виновен в том, что предоставляет слабозащищенные способы совершения банковских операций, недостаточные для защиты средств доверенных клиентом (это раз). Также не объяснил клиенту возможные проблемы и не предупредил его о том, что обычных средств защиты ПК недостаточно, а наоборот заверил в надёжности и безопасности совершаемых операций, т.е. ввёл в заблуждение (это два). elza-za, виновна в том, что поверила банку и не предприняла усиленных мер защиты. В этом случае, по здравому размышлению, основную ответственность несёт банк и его служба безопасности, а не клиент, который доверил банку свои деньги и которого банк ввёл в заблуждение.

 

Maratka, дело не в банках, а в судах.

 

Сообщение от модератора zell

Пожалуйста, будьте взаимовежливы

[elza-za]

Честно сказать, сомневаюсь.

Потому как хотел бы я видеть московские банки без филиалов. И провинциальные, без офиса в Москве..

 

p.s.

Я на данный момент нахожусь в Севастополе.

И тут есть как минимум:

1) Банк Москвы

2) Сбербанк России

3) Альфа-банк

Просто суды проходят по месту пребывания потерпевшего, в моем случае банк тоже имеет филиал в моем городе. И вообще это банк второй в России. Принимают решения по искам местные судьи, они тоже люди. Каждый оценивает ситуацию по-своему. Даже в этой маленькой теме 2-а противоположные мнения. Также и судьи. А закон "О национальной платежной системе" вступает по части, касающейся электронных способов оплат только 1 января 2013г. Там уже банк в законном порядке должен будет отвечать за кражи с пластиковых карт, за то, что не обеспечил безопасное их использование и не предупредил клиента об опасности и не оповестил о всех операциях по карте. Это мне просто не повезло, не попала я под действие этого закона. Поэтому, буду ссылаться на закон о защите прав потребителей.

[пользователь]

Банк виновен в краже денег со счёта и халатности elza-za здесь нет. elza-za, доверила свои деньги банку, тот взял обязательства по их хранению, предоставлению соответствующих услуг и защите их при предоставлении своих услуг. Банк также использует описанный способ защиты банковских операций, инструкции на который дал клиенту. Клиент их в точности выполнила. Клиент также защитила свой ПК. Но метод защиты операций от банка оказался неэффективен. Банк не знал и не сообщил, что меры принимаемые для защиты ПК клиента из-за слабости метода защиты банка неэффективны и требуют дополнительных ухищрений. В итоге банк виновен в том, что предоставляет слабозащищенные способы совершения банковских операций, недостаточные для защиты средств доверенных клиентом (это раз). Также не объяснил клиенту возможные проблемы и не предупредил его о том, что обычных средств защиты ПК недостаточно, а наоборот заверил в надёжности и безопасности совершаемых операций, т.е. ввёл в заблуждение (это два). elza-za, виновна в том, что поверила банку и не предприняла усиленных мер защиты. В этом случае, по здравому размышлению, основную ответственность несёт банк и его служба безопасности, а не клиент, который доверил банку свои деньги и которого банк ввёл в заблуждение.

Почитал этот поток сознания - даже комментировать не буду.

 

А закон "О национальной платежной системе" вступает по части, касающейся электронных способов оплат только 1 января 2013г. Там уже банк в законном порядке должен будет отвечать за кражи с пластиковых карт, за то, что не обеспечил безопасное их использование и не предупредил клиента об опасности и не оповестил о всех операциях по карте.

Готовьтесь к тому, что вас предупредят и возьмут с вас об этом расписку. Что наличие вирусов на компьютере где совершаются платежи совершенно недопустимо и недопустимо сообщать реквизиты вашей банковской карты третьим лицам любым способом, что в случае если эти условия не были выполнены - то это вина клиента.

 

PS. Так же, вероятно то, что проценты по кредитам станут больше, а проценты по вкладам - меньше. Банкам же как-то надо будет компенсировать убытки причиненные раздолбаями-клиентами.

 

Сообщение от модератора zell

Пожалуйста, будьте взаимовежливы

[Денис-НН]

Готовьтесь к тому, что вас предупредят и возьмут с вас об этом расписку. Что наличие вирусов на компьютере где совершаются платежи совершенно недопустимо и недопустимо сообщать реквизиты вашей банковской карты третьим лицам любым способом, что в случае если эти условия не были выполнены - то это вина клиента.

Обычно это включено в договор банковского обслуживания или его приложения. А такие договора или никто не читает при подписании, или все эти приложения и инструкции имеют такой объём что его прочесть и понять невозможно.