Недавно попал в интереснейшую ситуацию, которая многое рассказала о моем банке Тинькофф. Когда я гулял по центру Москвы в новогодние праздники, у меня украли телефон.
Неприятное событие, сразу же позвонили в полицию и заблокировали телефон через айклауд, гонялись за преступниками, посмотрели по камерам как меня ограбили и куда они уехали. В полиции пообещали разобраться, взяли показания и заявление, и я, с грустью думая о том, как же мне не повезло, иду домой разбираться не удалось ли мошенникам меня взломать.
Оказалась проблема пришла через симку и двойную аутентификацию (Спойлер: ее нет)
Мошенники через симку успели получить доступ к одной из почт. После круговой смены всех паролей и блокирования номера телефона. Я позвонил в банк Тинькофф и предупредил их о том, что телефон был украден, и попросил отвязать мой номер телефона и не принимать с него никаких операций, так как боялся, что мошенники наберут в банк притворятся мной и с другого устройства сумеют зайти в мобильный банк, как оказалось не зря. И я в расстроенных чувствах пошел спать в 4 утра думая о том, что мне еще предстоит со всем этим разбираться.
На следующий день встал вопрос о покупке нового телефона и восстановление заблокированной симки. И уже в офисе яйцевого оператора, я узнал, что симка моя разблокирована, а на карте денег уже нет.
И тут начинается самое интересное, пришлось разбираться, что же произошло.
Симку, как оказалось, разблокировали через мобильный кабинет. А деньги перекинули с кредитки на дебетовую и купили пару новеньких айфонов.
Но разве можно перекинуть деньги с кредитки на дебетовую не через оператора банка?
Действительно, нельзя
А может оператор банка позволить мошенникам менять мое кодовое слово, контактный номер и заново подключить мобильный банк?
Да, может.
А может ли банк установить видеосвязь с мошенниками после того, как система банка заблокировала подозрительные операции и разрешить мошенникам дальше управлять моим счетом, покупая новенькие айфоны?
Оооо, да.
Что же думает банк Тинькофф по этому поводу?
Когда вы сообщили нам о краже телефона, мы сразу приняли необходимые меры. Угрозу в такой ситуации представляет только приложение на телефоне и ApplePay. Мы удалили токены, контактный телефон, пароль и сбросили привязку к мобильному приложению.
Как мы можем видеть угрозы не было, нет и не будет, никаких угроз, ничего не угрожает вашим деньгам, на 1000% все ок. Удалили контактный телефон, мобильный банк отвязали, мошенники точно не смогут завладеть вашим счетом, мы его оберегаем и никаких мошенников не пропустим.
Через 3 часа.
Затем был звонок для изменения кодового слова. Мы получили нужное количество правильных ответов и внесли изменения. После этого мы также поменяли контактный номер телефона.
Ну поменяли, ну да, мы вопросики позадавали ну и что, что это были не вы.
Дальше лучше.
Позже были блокировки из-за переводов с кредитной карты на дебетовую. Идентификацию по видеосвязи мы провели корректно.
Корректно. Корректно, когда мы по видеосвязи видим другого человека и подтверждаем подозрительную операцию. Это абсолютно корректно. Ничего в жизни более корректного не видел. У меня, если что гетерохромия, что, как вы понимаете, бросается в глаза, и навряд ли меня можно просто так спутать с мошенником.
По отчёту о входах в личный кабинет до сброса привязки и после этого, использовали одно устройство. Далее токен привязали к ApplePay, после чего произвели оплату по токену на сайте Re-store.
Apple почему то, так не считает, поскольку показывал, что телефон все это время был заблокирован. Да и то, что они сумели привязать все обратно к телефону, который был украден не вызвало у Тинькофф никаких подозрений, уже вызывает вопросы.
Для более детального разбора и помощи с возвратом средств вам необходимо обратиться в полицию. Мы будем всецело помогать следствию по их запросам.
Да, я уже, и даже показал это Тинькофф. Что делает полиция, это тема для отдельного поста, но, если что следователь уже уволился 2 недели назад.
По итогу: с счета банка Тинькофф у меня украли все деньги. Все ответы на мои претензии были в духе, что мы все сделали как надо, поэтому возвращать ничего не будем.
Вывод из этой истории предлагаю сделать вам самим, я же свой вывод сделал.
P.S. Пин-код конечно я уже поставил, но и он не панацея, и дальше уже буду обращаться в суд.
#жалобатинькофф
Совет всем - ставьте сим-пин. Огромное множество случаев увода средств уже из-за симок с дефолтным пином.
А как можно обойти блокировку FaceID (и др. подобные) на телефоне? Не увидел о каком телефоне речь идет, если это был iPhone - то удаленно можно блокирнуть. Может и на андроиде такое есть?
Комментарий недоступен
Блин. Да не ломал никто телефон.
Симкарту переставили в другой телефон, далее обладая персональными данными и возможностью получить смс можно взломать практически любое приложение.
Думаю они просто слили мой телефон специалистам по круче, сам телефон всегда отображался заблокирован, сама симка разблокировалась
Комментарий недоступен
спонсор новости фбр
Так они его и не взломали
Просто вытаскивают симку и вставляют ее в другой телефон.
Это был iphone xr, и сам телефон отображался заблокированным, и доступа у них не должно быть
А телефон так и не вышел на связь? По идеи при первой активации будет успех
можно вытащить сим-карту и вставить в свой телефон.
А зачем в данном случае ее обходить (вроде это пока на самом деле доступно только америкосовским гэбэшникам, то там мутно как-то все)?
Тут достаточно было вынуть сим из аппарата и вставить в другой телефон. А уже все остальные действия делать с нового аппарата. По крайней мере, я понял ситуацию именно так. Хотя конечно ко многим моментам есть вопросы, но скорее всего мы не узнаем на них ответы :)
Если есть какие то вопросы с моей стороны, задавайте я постараюсь на все ответить)
через какое время после того как обнаружили пропажу бы заблокировали все что можно?
Телефон заблокировали через 15 минут, сим карту через 2 часа тогда же заблокировал мобильный банк, после того как заблокировал телефон операции мошенников прошли через 7 часов после кражи
Получается надо было бежать получать новую симку себе, тогда бы украденная не работала бы. Правильно?
давно есть, но тут все зависит от оболочки, вендора
Симку можно тупо вынуть.
Даже с учетом всех минусов технологии e-sim, смотрятся смотреться они более надежно..
А какие минусы у e-sim?
Если телефон поменяете придется идти в салон за новым qr-кодом. Если за границей, или даже в другом городе сломается телефон придется идти в салон в котором сим-карту получали (шутка, просто в своём регионе, но это не точно).
Это видимо какая-то российская тема про салон? Я решил себе сделать e-sim после этой статьи, запросил в личном кабинете, по электронной почте прислали qr-код. На всё ушло минут 5. Но это не российский опсос.
И как вы оцениваете безопасность данной операции по шкале от 1 до 10. Где 1 это пиздец как небезопасно, а 10 безопасно?
Лично я за все операции с моими сим-картами только через салон.
Ну для этого надо знать пароль от личного кабинета и иметь доступ к физической сим карте. Не особо безопасно, но теперь физической сим карты нет.
Edit: qr-код прислали в зашифрованном pdf файле, где пароль - полная дата рождения.
Комментарий недоступен
Это так легко пробивается, если на руках только симка?
Это даже брутфорсится легко. Там максимум порядка 30000 комбинаций всего.
Ну да, если знать что пароль это дата рождения, на ферме из 8 видях полный перебор займет примерно 0.003 секунды
30000 даже на процессоре в один поток перебрать легко.
При подключении e-sim можно получить qr и потом при смене телефона никуда не ходить.
У Тинькофф получал новый QR, отвечал на кучу вопросов, а потом ждал часа 2-3
Да, уже поставил и рассказывая всем эту историю, так же советую все поставить пин-код
Читаю вашу историю и ужасаюсь) То есть у вас симка была без пинкода?
полагаю у большого числа людей сим без пина, его же теперь по умолчанию не включают при покупке симки
Процентов 95 не ставит пароль на сим-карту
Комментарий удален модератором
Комментарий недоступен
пин можно свой поставить, оператор его знать не будет
оператор если только puk код скажет, но не слышал про такую услугу
и чтобы позвонить с того номера оператору, уже надо пин ввести, если звонить с другого, то надо знать персональные данные, а их без рабочей симки пробить сложнее
Комментарий недоступен
Комментарий недоступен
ок, ну все равно нужны персональные данные,
не зная пин кода даже номер симки не узнать
Комментарий недоступен
и как его узнать, если телефон заблочен, а на симке пин?
Комментарий недоступен
В поддержку? И что там сказать, скажите мне код для симки, ее номер я не знаю и ФИО тоже не знаю? ))
Комментарий недоступен
Комментарий недоступен
Зная номер телефона - ФИО узнать не такая большая проблема.
Однако, не зная PIN - как узнать номер телефона?
Комментарий недоступен
Через пробив по imei или iccid сотрудником оператора
если нечистоплотный сотрудник оператора сделает новую сим с моим номером, то пин-код на старую симу поможет? это другой способ, конечно. Идеальной защиты нет.
Комментарий недоступен
Это не вернет денег. просто в тех историях краж с помощью клонов симок - ничем хорошим для кинутых это не кончилось :(