Со счета губернатора Астраханской области Александра Жилкина неизвестные сняли деньги. Глава региона отписался о произошедшем в ЖЖ: «реально сам столкнулся с мошенническими операциями по пластиковым банковским картам (без ведома моего и банка-эмитента сняли деньги)».

Губернатор считает, что случившееся напрямую связано с работой сервиса мобильного оператора. Как Жилкин написал в микроблоге, остальные операторы имеют на вооружении механизм переадресации на сайт банка-эмитента, на котором действуют дополнительные механизмы защиты клиента. А вот компания "Билайн" не выполняет переадресацию на ресурсы и сервисы банков-эмитентов, то есть не выполняет необходимые требования стандарта PCI DSS, открывая мошенникам поле действия.

Также было отмечено, что в погоне за прибылью сотовые операторы пренебрегают элементарными нормами правил безопасности клиентов, подрывая, таким образом, развивающуюся систему безналичных расчетов. В итоге губернатор добавил, что данная запись адресуется в качестве официального запроса для проведения проверки сотового оператора.

profi-forex.org

ДОСЛОВНО

Александр Жилкин: "Билайн помогает мошенникам"

Реально сам столкнулся с мошенническими операциями по пластиковым банковским картам (без ведома моего и банка-эмитента сняли деньги). А помогает мошенникам исключительно сайт Билайна (oplata.beeline.ru).

Причем Билайн в погоне за клиентами и в отличие от других сотовых операторов дает возможность (реализованную сервисом) привязки пластиковой карты пользователя к любому мобильному телефону, независимо от владельца, с реализацией полного управления пластиковой картой после указания ее номера и окончания срока действия. Отсутствует механизм проверки идентичности владельца карты и телефона.

Другие сотовые операторы используют механизм переадресации на сайт банка-эмитента, на котором реализованы дополнительные механизмы защиты клиента.

Компания «Билайн» не выполняет переадресацию на сайты и сервисы банков-эмитентов, а значит, не выполняет необходимые требования стандарта PCI DSS, что позволяет злоумышленникам совершать мошеннические действия.

Как узнают номера пластиковых карт – это другая тема, но возмущает то, что в погоне за прибылью пренебрегают элементарными требованиями безопасности клиентов, а также подрывают развивающуюся систему безналичных расчетов.

Пост адресую как официальный запрос к Роскомнадзору о проведении проверки сотового оператора «Билайн» по подобным неприятным случаям, а они уже не единичны.

alexandr-jilkin.livejournal.com/70483.html

КОММЕНТАРИЙ ПРЕДСТАВИТЛЕЯ БИЛАЙН

Предварительный комментарий старшего менеджера по связям с общественностью Южного региона ОАО "ВымпелКом" Карины Коряковцевой на пост губернатора Александра Жилкина. alexandr-jilkin.livejournal.com/70483.html. Пока не готов детальный ответ из-за отсутствия результатов официальной экспертизы.

"К сожалению, из текста непонятно, карта какого банка использовалась, какая услуга оплачивалась и когда это происходило.

Мы надеемся получить от уважаемого блогера информацию на эти вопросы, что поможет нам более точно разобраться в ситуации. Безусловно, мы свяжемся с ним в самое ближайшее время – по этому алгоритму мы взаимодействуем со всеми нашими абонентами.

На основании его поста мы предполагаем, что его банковская карта привязана к мобильному телефону для пополнения счета. Для совершения привязки карты, происходит списание случайной суммы до 10 руб. (потом возвращается на счет). Чтобы узнать точную сумму, владельцу карты надо совершить одно из действий:

1) позвонить в банк и сотрудник банка запрашивает его личные данные, включая кодовое слово для верификации клиента,

2) ввести в банкомате пин карты и получить выписку,

3) получить выписку через интернет- банк,

4) если вы подписаны на смс- информирование, сумма операций придет на ваш телефон.

Очевидно, чтобы совершить все эти действия, мошеннику надо узнать все личные данные владельца карты, и если эти данные были сообщены, то да, мошенник может использовать вашу карту. К сожалению, в данном случае, когда вы сами вольно или невольно дали данные своей карты, мошенник получает карт-бланш – так же, как если бы вы отдали свой кошелек чужому человеку. После привязки карты вы получает на телефон секретный код, который нужно вводить при каждом платеже.

Таким образом, возникает предположение, что сторонним лицам стала доступна уникальная информация об операциях уважаемого абонента. Каким образом – предстоит разобраться, и мы обязательно со своей стороны предложим помощь в выяснении этого вопроса

По поводу «привязки пластиковой карты пользователя к любому мобильному телефону» - сервис позволяет оплачивать привязанной картой до пяти телефонов, это сделано, чтобы глава семьи мог оплачивать телефонные расходы членов семьи.

По поводу: «Другие сотовые операторы используют механизм переадресации на сайт банка-эмитента, на котором реализованы дополнительные механизмы защиты клиента. «Билайн» не выполняет переадресацию на сайты и сервисы банков-эмитентов, а значит, не выполняет необходимые требования стандарта PCI DSS, что позволяет злоумышленникам совершать мошеннические действия».

Информация не соответствует действительности, так как переадресация на странице банка эмитента используется для введения дополнительно пароля 3 D secure, к сожалению, сейчас в России доля карт подписанная на 3 D secure незначительна. Поэтому «Билайн» выбрал верификацию по случайной сумме, что работает для всех карт.

Стандарты PCI DSS - это стандарты получения и хранения карточной информации, что ни как не связано с верификацией карты и привязкой ее к телефону.

Более того, по договору с банками, «Билайн» возмещает клиентам банка все понесенные убытки, если банк сочтет, что в отношении клиента были совершенны мошеннические действия".