Илья Михальчук

Клиентов Почта-банка лишили бонусов

Мошенники нашли доступ к бонусам на его картах.

Клиенты Почта-банка сообщают о несанкционированном списании бонусных баллов с кобрендинговых банковских карт «Пятерочка». В банке называют происходящее «техническим сбоем», допуская мошенничества с баллами, но не средствами клиентов. Эксперты по информационной безопасности называют такие хищения киберинцидентом, считая, что банк наравне с ритейлером несет ответственность за ситуацию. По их мнению, сама возможность хищения баллов могла быть спровоцирована именно уязвимостью карт.

В рунете появились сообщения клиентов Почта-банка о несанкционированных списаниях бонусных баллов с выпущенных совместно с ним дебетовых карт «Пятерочка». Только на banki.ru в августе—сентябре таких жалоб более десятка. В них говорится о хищении бонусов на суммы, эквивалентные 0,2–2 тыс. руб. (при оплате покупок 10 баллов составляют 1 рубль), списание происходит как покупка за баллы в «Пятерочке». Есть кейсы неоднократного хищения даже после обращения клиента в банк. Например, в одном из отзывов клиент сообщает о краже в начале июля 9 тыс. баллов в Магнитогорске, уже после обращения в банк — о хищении 2,2 тыс. баллов в начале августа в Краснокамске, а после перевыпуска карты — 18 августа порядка 9 тыс. баллов в Вологде.

В Почта-банке “Ъ” сообщили, что «по некоторым картам "Пятерочка" выявлено незаконное списание бонусных баллов, но эти случаи не были массовыми» и «на текущий момент сбоя нет». «Мошеннические схемы с бонусными счетами не связаны напрямую с банковскими счетами и данными карт, сами карты не скомпрометированы»,— заверили в банке, обещая компенсацию потерянных баллов «Пятерочкой», а также бесплатный перевыпуск карт. В ритейлере говорят, что это консолидированная позиция.

Эксперты по информбезопасности сходятся во мнении, что баллы терялись из-за утечки данных или используемой злоумышленниками уязвимости. По словам главы службы информбезопасности РГС-банка Ивана Шубина, карты перевыпускаются «при компрометации их данных, при сбое нет такой необходимости». С ним согласен директор департамента информбезопасности Росбанка Михаил Иванов, добавивший, что техническая причина перевыпуска карты — это, например, неработающий чип.

Собеседник “Ъ” в банке из топ-20 назвал наиболее вероятной причиной перевыпуска утечку данных из банка или его контрагента, уязвимость же самой системы расчетов бонусами позволила злоумышленникам совершать хищения. «Есть несколько способов расчетов баллами за покупки. Первый — часть покупки оплачивается баллами с карты, часть — деньгами. Если за покупку платится хотя бы рубль плюс баллы, это означает, что платеж проходит двойную верификацию — и банка, и магазина-партнера, списать баллы удаленно при таком способе расчетов практически невозможно»,— пояснил собеседник “Ъ” в крупном банке. Второй вариант — система позволяет оплачивать баллами покупку полностью, но клиент подтверждает платеж. Третий вариант используется в Почта-банке: можно баллами оплатить 100% покупки, подтверждение со стороны клиента не требуется. «При таком способе расчетов карта, по сути, становится обычной бонусной картой без присущей банковской карте защиты»,— говорит собеседник “Ъ” в крупном банке.

Эксперты полагают, что, хотя речь идет о программе лояльности партнера, ответственность за происходящее лежит и на банке. «Хищение бонусов с банковской карты является киберинцидентом, поскольку клиенту банка нанесен ущерб,— уверен эксперт Cisco Sistems Алексей Лукацкий.— Незаконное хищение бонусных баллов может быть киберинцидентом и с точки зрения ЦБ». В ЦБ на запрос “Ъ” не ответили, впрочем, там никогда не комментируют действующие банки. При этом закрывать существующую уязвимость в отсутствие внимания к проблеме регулятора банк не собирается. Там сообщили “Ъ”, что не планируют вводить ограничения на покупку за баллы «Пятерочка», решение, которое позволит верифицировать трату баллов без дополнительных ограничений, банком лишь рассматривается.