Так автор сам виноват: пишет, что сообщил последние 8 цифр карты. Ну, шикарно. А ничего, что первые шесть - бин банка и не меняется?
Потом он пишет, что его номер восстановили через оператора. 
То есть авторизацию можно было сделать как по номеру карты, которую он сообщил, так и по восстановленому номеру телефона. 
В приложении привязали к бесконтактной оплате карту и использовали для оплаты. 

У Тинькова лишь два косяка тут: они совсем недавно разрешили смотреть через приложение данные физической карты (раньше нельзя было, было неудобно). И, кстати, даже без смс. 
Они при смене устройства, симки, и т.п. совсем не учитывают таких факторов, что клиент не использовал давно кредитку, а тут резко меняет данные, устройство и оплачивает там, где никогда не был. 

Предлагаю уволить главного менеджера по безопасности, а компенсацию из его зарплаты потерпевшему сделать. 

Вообще, такие банальные и прозрачные нарушения, где даже простой скрипт поймёт, что что-то не так. 
Может меня возьмёте на удалённые консультации? Я вам столько вариантов расскажу мошеннических, и заодно протестируем вашу систему безопасности. И платить мне не надо, сколько отдаётся бесполезному "безопаснику" - как в трубу.