Постоянно читаю обо всех этих мошенничествах с уводом доступа к счету, так что в курсе, как оно происходит. 

И тут сам нарываюсь на очень странную историю с банком "ВТБ", когда я было посчитал, что сам стал жертвой такого развода, только я вообще в упор не понял, как такое вообще могло произойти. Но - обо всем по порядку. 

Есть у меня полузабытый и изрядно подзаброшенный счет в банке "ВТБ", которым я практически не пользуюсь: там на счету гордо лежат 18 рублей 75 копеек и больше там ни черта нет.

Решил я тут со смартфона зайти в этот счет и посмотреть, что там творится (там еще был валютный счет, на котором оставались какие-то копейки, и я хотел проверить). Захожу через приложение "ВТБ", посмотрел, что мне надо. И тут мне выводят предложение запросить виртуальную кредитную карту без визита в банк (далековато мне ехать визит наносить, если честно). Ну, думаю, давайте запрошу для прикола - денег же там не требуют. Запрашиваю кредит, заполняю данные. Через некоторое время получаю сообщение о том, что виртуальная кредитная карта мне одобрена (правда, меньше чем на максимальную сумму) и что ее сейчас можно будет получить.

И тут вдруг от банка вслед за сообщением о том, что мне одобрен кредит, приходит вот такое сообщение.

Ну, думаю, ладно, перезвоню, делов-то. Звоню в банк. Переводят на оператора, объясняю ситуацию. Та говорит, что сейчас переведет меня на отделение, которое занимается блокировками. Переводит (то есть, заметьте, это все идет разговор с банком, куда я сам позвонил). Говорит оператор - ну, скажем, Дарья. Я ей объясняю ситуацию, Дарья говорит, что система безопасности часто срабатывает на запросы кредитов, потому что мошенники, получив доступ к счету, пытаются запрашивать кредиты и сразу уводят деньги после получения кредита. Поэтому банку нужно убедиться, что я - это тот, за кого себя выдаю. Ну, говорю, давайте убедимся, дело полезное. Дарья задает обычные полагающиеся вопросы (дата рождения, последние цифры банковской карты и срок ее действия, адрес прописки), а потом говорит, что для завершения процедуры она должна мне перезвонить (тут я сразу начал напрягаться) и кроме того, когда она мне перезвонит, то мне на телефон пришлет по SMS код, который я ей должен назвать.

Нормально, да? Все банки всегда пишут, что никогда сотрудник не будет присылать вам код и не будет просить его назвать, а тут, оказывается, мне пришлют код, и я должен буду его назвать. Прошу у Дарьи объяснений. Она объясняет: банк должен убедиться, что телефон, который указан у меня в профиле, принадлежит мне. Для этого им нужно сделать встречный звонок. (Это, кстати, звучит логично, потому что если злоумышленник выдает себя за меня и подделывает мой номер, то принять звонок он не сможет.) Ну, ладно, говорю, а код-то на хрена присылать? Потому что если это будет классический код для доступа в мой личный кабинет, то хрен я его кому буду диктовать. Дарья объясняет, что код по SMS - это еще один уровень проверки того, что я владелец номера, потому что типа если кто-то каким-то образом сумеет перехватить звонок, то уж SMS он точно на него получить не сможет.

Да вы не волнуйтесь, говорит Дарья, там вместе с кодом специально будет указано, что вы именно должны этот код продиктовать оператору. И это такой протокол, говорит она. 

Все это звучит странновато, однако логика в этом есть, ну и я полностью уверен в том, что я говорю с работником банка, потому что я сам туда позвонил. А кроме того, думаю я, в крайнем случае злоумышленник завладеет 18 рублями (и 75 копейками), также на евровом счете там скопилась огромная сумма в 1,5 евро. Ну и мне вообще интересно, что там дальше будет, потому что если это все-таки развод, то там возникают совсем интересные вопросы.

Хорошо, говорю я, звоните.

Получаю входящий звонок. Именно та самая Дарья - она представилась, да и голос ее. Она говорит, что сейчас отправит мне код по SMS - приходит вот такой код, где действительно написано, что я его должен сообщить оператору. И код приходит именно от банка, он идет вслед за сообщением о блокировке.

Называю код, также она просит назвать моего провайдера Интернета (еще один уровень подтверждения), после чего говорит, что процедура завершена и все операции разблокированы. Мол, все в порядке, спасибо, до свидания.

Прощаюсь, после чего пытаюсь зайти с ноутбука в свой личный кабинет, а там - н фига, меня не пускают, пароль не срабатывают. Значит, думаю, все-таки ломанули! Но как, Холмс? Я сам звонил в банк, я точно разговаривал с сотрудником. Я никому не диктовал свои данные для входа (там цифровой логин и длинный устойчивый пароль), я никому не диктовал SMS для входа в личный кабинет. Уж если на таком уровне мошенники могут перехватывать обращение клиента в банк, то это совсем вешалки!

Ну, ладно, звоню в "ВТБ". Объясняю другому сотруднику ситуацию и задаю вопрос: действительно ли по протоколу восстановления доступа к счету сотрудник должен перезванивать, присылать код по SMS и клиент его должен назвать? Да, говорит сотрудник, для разблокировки процедура именно такая. А почему, спрашиваю я, меня теперь в кабинет не пускают? Да потому что, объясняет сотрудник, была блокировка, а при этом система автоматически сбрасывает пароль - для безопасности. Вы, сказал он, просто воспользуйтесь механизмом восстановления пароля, вам для этого придет код на телефон. 

Иду в личный кабинет, запускаю восстановление пароля, получаю код на телефон, вбиваю его в личном кабинете, задаю новый устойчивый пароль, получаю доступ к счету, а там - все в порядке, все мои 18 рублей на месте и даже 75 копеек в полной сохранности. Никаких следов постороннего доступа не обнаружено.

То есть это действительно были никакие не мошенники, а сотрудница банка, которая отрабатывала соответствующий протокол. Но протокол, скажу я вам, очень странный: если бы у меня там лежали какие-то немаленькие деньги, я бы конкретно напрягся.

Вот такая история.

P.S. Поговорил с парой друзей, у которых есть счет в "ВТБ", они сказали, что тоже налетали на этот протокол, и их также сильно напрягло то, что сотрудник перезванивает, присылает код и просит его назвать, но это именно такая процедура. Вот вам и "никогда не сообщайте сотруднику никакой присланный код". Дурдом какой-то.