Сбербанк онл@йн: спорное лидерство
Тема коварных «Автоплатежей» и рукотворных опасностей SMS-банкинга опять сама меня нашла «россыпью» пришедших SMS. Покопавшись в сети и поизучав форумы, ужаснулся происходящему.
Описанные больше года назад проблемы живёхоньки, и к ним добавляются новые.
Складывается впечатление, что в IT-соревновании «брони и снаряда» Сбербанк выступает несколько хуже, чем хотелось бы его вкладчикам и пользователям онлайн-сервисов. Может быть, пора приостановиться, осмотреться и всерьёз заняться частью биллинга, отвечающей за управление транзакциями с телефона?
Не отношу себя к специалистам в области информационной безопасности, но наглядно продемонстрированное повторение проблем годичной давности настораживает. И недвусмысленно намекает на то, что вопросом либо не занимаются должным образом, либо сложившееся положение устраивает тех, кто принимает решения.
«Теневая» SIM-карта
SIM-карта была куплена еще осенью прошлого года, эпизодически использовалась для коротких выходов в интернет. В таком режиме использования стартового баланса хватило надолго, но 19 июня деньги закончились, и баланс был пополнен через терминал QIWI.
На следующий после платежа день на телефон посыпались сообщения от Сбербанка. Естественно, никто никаких подключений мобильного банкинга не заказывал, да у владельца телефона и сбербанковской карты отродясь не было.
Ситуация живо напомнила эпизод более чем годичной давности, в котором когда-то подключенный к счету номер телефона неожиданно оказался «теневым дубликатом» другого, «настоящего» номера телефона и позволял (наверное) управлять банковским счетом владельца без его ведома. И без всяких «хакерских» усилий со стороны ни о чем не подозревавшего нового владельца номера, к которому оказался привязан такой неожиданный «подарок».
Не хочется повторяться, подробный рассказ с картинками о той дивной истории можно прочитать здесь, очень рекомендую.
Внимательное изучение пришедших SMS-сообщений показало, что здесь случай несколько иной, хотя и есть много общих черт с ранее описанным. Первой в списке значилась SMS с предложением оплачивать свой и чужие телефоны отправкой SMS-сообщений с указанием номера, удобно.
Следующая в списке — SMS с информацией о подключении «Мобильного банка» и опции «Быстрый платеж». Видимо, предыдущая SMS как раз эту опцию и описывала, просто SMS-сообщение о подключении «Мобильного банка» шло дольше и оказалось в списке полученных вторым.
Далее SMS-ка от МегаФона с информированием о подключении услуги «Автоплатеж» (автоматическое пополнение баланса телефона) и уведомлением о возможности отказаться в течение двух часов.
И, наконец, SMS-ка от Сбербанка с уведомлением о подключении услуги «Автоплатеж» в соответствии с поданной «заявкой». Видимо, предыдущее SMS-сообщение (от МегаФона) ушло на телефон чуть позже, но доехало быстрее.
Разумеется, никаких «заявок» на подключение «Автоплатежа» нынешний владелец SIM-карты не отправлял и даже все эти SMS-ки прочитал только спустя пару дней после события.
Последнее (надеюсь) SMS-сообщение о несработавшем автопополнении счёта, неизвестный владелец Сбербанковской карты VISA не пострадал. Возможно, косвенное подтверждение тому, что карта «пустая» и уже давно не используется.
Поскольку речь идет о неожиданном новом подключении «Мобильного банка», пусть и на чужую карту VISA, то не очень похоже на прошлую схему «теневого дубликата» действующего подключения к банковской карте. Тем более, что спустя 13 (это не опечатка) месяцев после той публикации был получен официальный ответ из Сбербанка, цитата:
«Tuesday, May 14, 2013, 12:29:03 PM. Сергей, добрый день. Спасибо за статью! Мы просим уточнить оператора и номер телефона, который использовался в конкретном примере. Так, сервис отключения услуги Мобильный Банк при смене владельца SIM уже реализован с Мегафон и МТС.
Работы с остальными операторами ведутся.».
Тогда что же случилось на этот раз? Для меня это тайна, покрытая мраком. Могу предположить, что прежний владелец номера когда-то при оформлении кредитки оставлял в Сбербанке свой контактный телефон, а потом в Сбербанке решили осчастливить всех своих клиентов подряд или случайную их выборку «Мобильным банком».
А сработало это подключение уже у нового владельца номера при первом пополнении баланса, до этого система «дремала» в ожидании. Или этот номер был когда-то привязан к карте, потом SIM-карта выброшена и номер продан другому владельцу, а сбербанковский биллинг ошибочно переподключил привязку на SIM-карту с другим уникальным IMSI.
Не знаю, пусть IT-профессионалы изучают таинственные потроха этой системы.
Пока специалисты уже который год вдумчиво разбираются в происходящем, осчастливленные владельцы чужих счетов радуются неожиданной прибыли. А пострадавшие жалуются оператору (см. выше скриншоты переписки на официальном форуме), который их посылает в… вы правильно догадались, в банк расторгать договор на обслуживание.
По принципу «я не я, и лошадь не моя», а в интимно-финансовых отношениях между банком и клиентом оператор — третий лишний.
Посланные идут, и отдельные, особо настырные личности до указанной цели доходят. Но не всегда удачно, цитата из письма:
«Привет. Уже год бьюсь со сбером отключить дублирующий номер, то есть старый, мне уже не принадлежащий, две бумаги оформлены с печатью о принятии заявления, а воз и ныне там, ничего не делается, как итог перешёл на одноразовые пароли, какие то доводы здравого смысла работниками сбербанка не воспринимаются…».
Взгляд со стороны
Не хотел ступать на тонкий лёд домыслов и предположений, но заинтересовали «говорящие» цифры в одном из последних отчётов компании J’son Partners Consulting, посвященный как раз динамике развития услуги «Автоплатеж» в России и за рубежом. По данным JP, лидерами по количеству пользователей, имеющих активированный «Автоплатеж», являются Сбербанк, Альфа-банк и ВТБ.
При этом почти половина всех пользователей, имеющих активированный автоплатеж, являются клиентами Сбербанка.
Цифры впечатляют, согласитесь. На фоне сокращающихся долей других участников этого рынка в России «Автоплатеж» в Сбербанке демонстрирует уверенный и, не побоюсь этого слова, рекордный рост.
Видимо, клиенты Сбербанка являются самыми прогрессивными и технологически «продвинутыми» пользователями современных банковских услуг. Мы ведь не можем предполагать, что «Автоплатеж» и прочие «Мобильные банкинги» подключают людям без их ведома, правда?
Озвученным показателям наверняка поспособствовала реклама в сети. Также не исключаю результат объединенных промо-усилий банка и операторов, ведь «Автоплатеж» — штука выгодная для всех.
Банк получает свои 30 или 60 руб. (в зависимости от вида карты) в месяц за «Мобильный банкинг», а оператор — абонента, у которого на балансе всегда есть деньги, которые он может потратить на связь и всякие дополнительные услуги. Ради такого дела можно и стимулы применить, цитата из давнишнего пресс-релиза:
«02 июля 2012 года. Москва. Столичный филиал ОАО «МегаФон» запускает акцию для пользователей услуги «Автоплатеж».
С 1 июля по 30 сентября 2012 года при автоматическом пополнении баланса на счет мобильного телефона каждый раз зачисляется бонус в размере 10% от суммы пополнения. Специальная акция «Бонус за Автоплатеж» действует для абонентов московского «МегаФона», подключившим с 1 июля по 30 сентября 2012 года услугу «Автоплатеж»…».
Резюме
Услуга автопополнения баланса удобна для абонентов и выгодна для банков и операторов. Но поскольку услуга активно рекламируется и всячески «продвигается в массы», технически всё должно быть реализовано с очень высоким уровнем надежности, удобства и безопасности для пользователя.
А с этим у нас, как видим, пока далеко не идеально. Мне кажется, что здесь есть о чём задуматься как Сбербанку и операторам, так и клиентам (в том числе потенциальным) этого сервиса.
Как не платить за мобильный банк? БЕСПЛАТНО пользуемся мобильным банком от Сбера.