Недавно попал в интереснейшую ситуацию, которая многое рассказала о моем банке Тинькофф. Когда я гулял по центру Москвы в новогодние праздники, у меня украли телефон.
Неприятное событие, сразу же позвонили в полицию и заблокировали телефон через айклауд, гонялись за преступниками, посмотрели по камерам как меня ограбили и куда они уехали. В полиции пообещали разобраться, взяли показания и заявление, и я, с грустью думая о том, как же мне не повезло, иду домой разбираться не удалось ли мошенникам меня взломать.
Оказалась проблема пришла через симку и двойную аутентификацию (Спойлер: ее нет)
Мошенники через симку успели получить доступ к одной из почт. После круговой смены всех паролей и блокирования номера телефона. Я позвонил в банк Тинькофф и предупредил их о том, что телефон был украден, и попросил отвязать мой номер телефона и не принимать с него никаких операций, так как боялся, что мошенники наберут в банк притворятся мной и с другого устройства сумеют зайти в мобильный банк, как оказалось не зря. И я в расстроенных чувствах пошел спать в 4 утра думая о том, что мне еще предстоит со всем этим разбираться.
На следующий день встал вопрос о покупке нового телефона и восстановление заблокированной симки. И уже в офисе яйцевого оператора, я узнал, что симка моя разблокирована, а на карте денег уже нет.
И тут начинается самое интересное, пришлось разбираться, что же произошло.
Симку, как оказалось, разблокировали через мобильный кабинет. А деньги перекинули с кредитки на дебетовую и купили пару новеньких айфонов.
Но разве можно перекинуть деньги с кредитки на дебетовую не через оператора банка?
Действительно, нельзя
А может оператор банка позволить мошенникам менять мое кодовое слово, контактный номер и заново подключить мобильный банк?
Да, может.
А может ли банк установить видеосвязь с мошенниками после того, как система банка заблокировала подозрительные операции и разрешить мошенникам дальше управлять моим счетом, покупая новенькие айфоны?
Оооо, да.
Что же думает банк Тинькофф по этому поводу?
Когда вы сообщили нам о краже телефона, мы сразу приняли необходимые меры. Угрозу в такой ситуации представляет только приложение на телефоне и ApplePay. Мы удалили токены, контактный телефон, пароль и сбросили привязку к мобильному приложению.
Как мы можем видеть угрозы не было, нет и не будет, никаких угроз, ничего не угрожает вашим деньгам, на 1000% все ок. Удалили контактный телефон, мобильный банк отвязали, мошенники точно не смогут завладеть вашим счетом, мы его оберегаем и никаких мошенников не пропустим.
Через 3 часа.
Затем был звонок для изменения кодового слова. Мы получили нужное количество правильных ответов и внесли изменения. После этого мы также поменяли контактный номер телефона.
Ну поменяли, ну да, мы вопросики позадавали ну и что, что это были не вы.
Дальше лучше.
Позже были блокировки из-за переводов с кредитной карты на дебетовую. Идентификацию по видеосвязи мы провели корректно.
Корректно. Корректно, когда мы по видеосвязи видим другого человека и подтверждаем подозрительную операцию. Это абсолютно корректно. Ничего в жизни более корректного не видел. У меня, если что гетерохромия, что, как вы понимаете, бросается в глаза, и навряд ли меня можно просто так спутать с мошенником.
По отчёту о входах в личный кабинет до сброса привязки и после этого, использовали одно устройство. Далее токен привязали к ApplePay, после чего произвели оплату по токену на сайте Re-store.
Apple почему то, так не считает, поскольку показывал, что телефон все это время был заблокирован. Да и то, что они сумели привязать все обратно к телефону, который был украден не вызвало у Тинькофф никаких подозрений, уже вызывает вопросы.
Для более детального разбора и помощи с возвратом средств вам необходимо обратиться в полицию. Мы будем всецело помогать следствию по их запросам.
Да, я уже, и даже показал это Тинькофф. Что делает полиция, это тема для отдельного поста, но, если что следователь уже уволился 2 недели назад.
По итогу: с счета банка Тинькофф у меня украли все деньги. Все ответы на мои претензии были в духе, что мы все сделали как надо, поэтому возвращать ничего не будем.
Вывод из этой истории предлагаю сделать вам самим, я же свой вывод сделал.
P.S. Пин-код конечно я уже поставил, но и он не панацея, и дальше уже буду обращаться в суд.
#жалобатинькофф
Какая-то мутная история.
Как мошенники попали в личный кабинет если симкарта была заблокирована?
Не говоря про то, как они попали на заблокированный телефон и вошли в приложение.
+1 и как можно было разблокировать телефон без отпечатка/скана лица/радужки....
Взломать его, ну Боже ж мой, все ломают, главное украсть
Да, в течении суток, хотя фсб на это потребовалось несколько месяцев.
После нескольких месяцев безуспешных попыток Федеральному бюро расследований США удалось взломать iPhone стажёра ВВС Саудовской Аравии Мохаммеда Саида аль-Шамрани, сообщает The New York Times. Его обвиняют в убийстве трёх человек на базе ВМС США в декабре прошлого года.Отсюда https://www.google.ru/amp/s/m.habr.com/ru/amp/post/502710/
И правда, главное украсть.
Точно фсб, товарищ майор?
Уже даже не фсб, а полиция имеет доступ к вскрытию айфонов www.bbc.com/russian/news-43298602
От BBC я и не ждал другого, но статья технически безграмотно написана. Взломать любой айфон невозможно, только те, которые с устаревшим ПО. Apple периодически фиксит такие баги и закрывает такие возможности.
айклауд отображал мой телефон заблокированным все это время, они получили доступ только к симке. Почему банк сказал что это было с моего устройства, я понять не могу
Комментарий недоступен
Может Apple Pay? Нужен по идее только терминал и находится рядом, чтобы в лицо тыкнуть.
У них видимо в скриптах написано для таких случаев: "разбирайтесь сами"
Банки могут проверять номер устройства запросом, который идет в базу оператора. Данные в этих базах обновляются как минимум у ряда операторов с большой задержкой, другая версия что банки проверяют номер устройства не все время, а с какой-то периодичностью. Это отдельная тема, чтобы разгребать.
Еще раз приходим к тому, что смс/телефон не является нормальным каналом 2FA, есть GA и аппаратные устройства, подключать которые не спешат, даже ВТБ де-факто избавился от своего "калькулятора".
Ну и все хотят все удаленно, якобы есть секретные вопросы, анализатор голоса, даже вот видеосвязь, но все же хотят быть клиентоориентированными при этом.
А восстановление симки обойдут предоставив паспортные данные, хотя конечно странная история, тот же Мегафон на сутки выключает смс после смены симки, хотя тут разблокировка...
Смс/телефон является нормальным каналом 2FA при условии, что используется номер, отличный от номера устройства, на котором работает приложение.
Проблема в том, что телефон делает из 2FA - 1FA, поскольку сам факт обладания сим картой позволяет получить доступ, при некоторых усилиях
Ну так секретные вопросы решают ) Просто это должны быть именно секретные вопросы, а не "Как вас зовут". По сути, секретный вопрос - это тоже самое, что пароль на каком нибудь сайте. Другой вопрос, если человек идиот и держит все пароли в открытом виде...
А если они твою симку переставили в другой аппарат, все это можно было провернуть?