Взломали озон аккаунт, отменили заказы, и тут же вывели ~44т.р. с озон банка2
Коротко: в озоне проблемы с безопасностью аккаунтов, судя по всему присутствуют дыры, с помощью которых можно войти в аккаунт без подтверждения одноразовым кодом по телефону, вероятно это делается как-то через госуслуги. Тот факт, что вы не храните средства на озон банке еще не гарантирует, что у вас их не украдут.
Подробно: 18.11.2024 21:17 MSK сижу за ноутом и формирую заказы на @Ozon (маркетплейсе) - вижу уведомление, что заказ отменился. Первая мысль - продавец что-то там хитрит. Иду в тех поддержку писать, и вижу, что начинают все активные заказы отменяться. Понимаю что это взлом, начинаю судорожно выходить из левых сессий и вижу, что к аккаунту привязаны левые гос услуги (не на мое имя). Я будучи онлайн, прям параллельно со взломщиком сидел в своем ЛК, разлогинивал ему сессии раз 10, отвязывал чьи-то левые гос услуги от моего аккаунта, но буквально через 30 секунд он опять был залогинен и гос услуги заново привязаны. По итогу - отменили все активные заказы, деньги моментально вернулись на озон банк, откуда злоумышленник перевел средства оплатой по QR коду СБП на авито кошелек.
Факты \ мысли \ советы:
- для входа в озон требуется ввести 6-значный одноразовый код из смс, либо, что даже чаще - последние 6 цифр номера, который звонит тебе на привязанный к озону номер телефона. А если ты вошел в аккаунт озон, то и в банк ты можешь попасть без всяких там дополнительных вопросов судя по всему - максимум что спрашивают - это 4-значный пинкод, либо локальую биометрию с телефона. у меня была привязана почта с 2 факторкой, но даже когда пытаешься войти через нее - все равно озон просит 6 значный код с телефона \ приложения. ну и к тому же на почте никаких уведомлений\писем о новых входах на нее не было (gmail вообще на телефон уведомляет о фактах логина пушем).
- мой телефон у меня под полным контролем, функционирует, принадлежит только мне и был включен в момент взлома, и никаких звонков или смс при входе взломщика я не получал. данный факт подтверждается детализацией с мобильного оператора, которую я заказал утром следующего дня. разумеется никакие коды и информацию никаким третьим лицам я не передавал, хоть мне всячески и пытается намекать на это сам озон, оператор поддержки банка по телефону даже посоветовала "убедиться, что мой номер не перевыпущен" - на вопрос, как она себе это представляет - вразумительного ответа не последовало.
- к моему аккаунту озон привязывали аккаунт гос услуг (не мой, имя было левое, но увы не успел сделать скриншоты, т.к. судорожно выкидывал чужие сессии) - не знаю, как это технически возможно, т.к. мой аккаунт гос услуг зарегистрирован на тот же номер, что и озон, и он тоже находится под полным контролем, включена 2фа. специально проверил после инцидента, он под контролем
- все явно происходило в автоматическом или полуавтоматическом режиме, т.к. после отвязки гос услуг и деактивации сессии, взломщик опять был залогинен и с привязанными гос услугами в течение буквально нескольких секунд. причем он меня тоже выбивал, и когда я входил - с меня требовали код из смс \ звонка, и мне эти смс\звонки на мои попытки входа приходили, а на попытки входа злоумышленника - нет.
- пользователь смог перевести средства без подтверждения по номеру телефона, и неизвестно, запрашивался ли у него 4-значный пинкод (т.к. его спрашивают крайне редко, когда ты давно ничего не покупал). крайне небезопасно, что в банк можно войти просто по одноразовому коду приходящему на телефон, а вот сделать пароль или добавить 2фа - нельзя. при этом если вошел из аккаунта озона (в который войти можно так же) - то доверие банка еще больше, и ему не важно, что это новый незнакомый IP / устройство и при этом однотипные, но нетипичные транзакции для аккаунта никак не заблокировались. факт того, что деньги зачисляются и тут же выводятся - тоже никак не тригернул систему безопасности.
- поддержка самого озона - это филиал ада на земле, пишут шаблонами, в суть вопроса не вникают вообще, ты пишешь им сообщение - ждешь 15 минут очередь, тебе пишут бесполезный ответ и тут же закрывают тикет, без возможности развить диалог. я раз 10+ пытался писать им, мне 7 раз сказали чтобы я вышел из всех сессий, и раза 3 - что никакой подозрительной активности на моем аккаунте не обнаружено. это при том, что я первым же сообщением четко изложил произошедшее. а самое веселое, что спустя 2 дня, когда я попытался повторно сделать мелкий заказ - мне заблочили возможность делать покупки по причине.... подозрительной активности! спросили, когда я последний раз делал заказ сам, и сказали, что на решение вопроса уйдет 1-2 дня. Т.е. я пополнил озон карту как обычно; я пытаюсь повторить заказ, который мне отменили; на адрес, на который я заказываю больше полугода; делаю это все с уcтройства, с которого сделал сотню заказов - и это у них вызвало подозрения. А авторизация с нового устройства с нового ip и массовая отмена заказов с последующим выводом в новом направлении - все нормально)
- поддержка озон банка - в чате мне так и не ответили в течение минут 30, зато я смог дозвониться на горячую линию (тоже раза с 3го, и минут через 15, но это уже ладно). Там хотя бы адекватный специалист была, выслушала, вникла, заморозила временно банк акк, передала запрос в СБ, сказав, что в течение 24ч вопрос будет решен, и что со мной свяжутся.
UPD на 21.11.2024 03:10 MSK
СБ на связь так и не вышли, хотя обещали в течение 24ч позвонить, поддержка банка сказали что звонить и не планируют, что все операции совершались добровольно и оспариванию не подлежат. "Добровольно" это когда взломщик заходит с нового устройства и IP адреса в банк, в котором нет паролей, а только 6-значный одноразовый код (который даже не отправлялся на мой телефон) и уводит средства неизвестно куда.
Т.е. такими ответами (их формулировками) OZON банк между делом перекладывают ответственность с себя на клиента и злоумышленников, НО! есть нюанс - ответственность за убытки в случае взломов лежит на банке.
Согласно N 161-ФЗ (ред. от 08.08.2024) "О национальной платежной системе"
Статья 9. Порядок использования электронных средств платежа, части 11-16
https://www.consultant.ru/document/cons_doc_LAW_115625/b0062...
Часть 11. В случае утраты электронного средства платежа и (или) его использования без добровольного согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без добровольного согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
Часть 12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан в течение 30 дней возместить клиенту сумму операции, совершенной без добровольного согласия клиента с использованием указанного в уведомлении электронного средства платежа после получения указанного уведомления.
Таким образом, взлом произошел в 21:17, в 21:18 и 21:19 было сделано 2 перевода злоумышленником, а 21:22 я уже уведомил поддержку о факте взлома и просьбе заморозить активность \ переводы. Но в силу заторможенности ответов - злоумышленник успел сделать еще 1 перевод в 21:27.
Взломщик конечно является причиной всей это суматохи, но ответственность в данном случае на OZON банке, т.к. это их дыры в безопасности позволили злоумышленнику такое провернуть. С моей стороны не было утечек \ передачи данных третьим лицам, которые бы могли привести к взлому, однако OZON пытается всячески на это намекать, не приводя никаких фактов, подтверждающих это.
В списке транзакций переводы числятся как категория "супермаркеты" - оплата была по QR, т.е. хоть платежи и были через СБП - это была оплата услуг (пополнение кошелька на авито, как я понял) - а такие транзакции насколько мне известно нет никакой сложности оспорить (особенно когда оно вот прям только что сделано), просто нужно сотрудникам банка было напрячься и связаться с авито, но они это делать принципиально не хотят как будто.
Столкнулся я не с мошенниками, с халатностью и дырами в банке прежде всего, и вопросы/претензии у меня именно к банку.
Т.к. мирным путем украденные средства возвращать мне отказались, для тех, кто попал в такую же ситуацию, держите примерный план действий:
1. подается первичная заявление об исполнении обязательства (https://finombudsman.ru/kb/glossarij/zayavlenie-ob-ispolneni... - по ней разумеется выдают отказ. параллельно можно подать заявление в МВД, но это скорей просто для галочки, ибо бессмсысленно, да и вообще, как будто подтверждает ваше согласие с тем, что вы пали жертвой мошенников, а не дыр в безопасноти банка
2. подается вторичное заявление о восстановлении нарушенного права (https://finombudsman.ru/kb/glossarij/zayavlenie-(pretenziya)..., на нее должны ответить за 30 дней, получаем отказ или ждем 30 дней
3. с отказом на вторичное заявление можно уже идти в ЦБ и к Финансовому уполномоченному (https://finombudsman.ru/) - его решение (постановление) является обязательным к исполнению кредитной организацией действующей в рамках закона РФ. это орган досудебного урегулирования проблем.
4. в случае отказа со стороны омбудсмена - можно идти в суд уже.
