Недавно попал в интереснейшую ситуацию, которая многое рассказала о моем банке Тинькофф. Когда я гулял по центру Москвы в новогодние праздники, у меня украли телефон.
Неприятное событие, сразу же позвонили в полицию и заблокировали телефон через айклауд, гонялись за преступниками, посмотрели по камерам как меня ограбили и куда они уехали. В полиции пообещали разобраться, взяли показания и заявление, и я, с грустью думая о том, как же мне не повезло, иду домой разбираться не удалось ли мошенникам меня взломать.
Оказалась проблема пришла через симку и двойную аутентификацию (Спойлер: ее нет)
Мошенники через симку успели получить доступ к одной из почт. После круговой смены всех паролей и блокирования номера телефона. Я позвонил в банк Тинькофф и предупредил их о том, что телефон был украден, и попросил отвязать мой номер телефона и не принимать с него никаких операций, так как боялся, что мошенники наберут в банк притворятся мной и с другого устройства сумеют зайти в мобильный банк, как оказалось не зря. И я в расстроенных чувствах пошел спать в 4 утра думая о том, что мне еще предстоит со всем этим разбираться.
На следующий день встал вопрос о покупке нового телефона и восстановление заблокированной симки. И уже в офисе яйцевого оператора, я узнал, что симка моя разблокирована, а на карте денег уже нет.
И тут начинается самое интересное, пришлось разбираться, что же произошло.
Симку, как оказалось, разблокировали через мобильный кабинет. А деньги перекинули с кредитки на дебетовую и купили пару новеньких айфонов.
Но разве можно перекинуть деньги с кредитки на дебетовую не через оператора банка?
Действительно, нельзя
А может оператор банка позволить мошенникам менять мое кодовое слово, контактный номер и заново подключить мобильный банк?
Да, может.
А может ли банк установить видеосвязь с мошенниками после того, как система банка заблокировала подозрительные операции и разрешить мошенникам дальше управлять моим счетом, покупая новенькие айфоны?
Оооо, да.
Что же думает банк Тинькофф по этому поводу?
Когда вы сообщили нам о краже телефона, мы сразу приняли необходимые меры. Угрозу в такой ситуации представляет только приложение на телефоне и ApplePay. Мы удалили токены, контактный телефон, пароль и сбросили привязку к мобильному приложению.
Как мы можем видеть угрозы не было, нет и не будет, никаких угроз, ничего не угрожает вашим деньгам, на 1000% все ок. Удалили контактный телефон, мобильный банк отвязали, мошенники точно не смогут завладеть вашим счетом, мы его оберегаем и никаких мошенников не пропустим.
Через 3 часа.
Затем был звонок для изменения кодового слова. Мы получили нужное количество правильных ответов и внесли изменения. После этого мы также поменяли контактный номер телефона.
Ну поменяли, ну да, мы вопросики позадавали ну и что, что это были не вы.
Дальше лучше.
Позже были блокировки из-за переводов с кредитной карты на дебетовую. Идентификацию по видеосвязи мы провели корректно.
Корректно. Корректно, когда мы по видеосвязи видим другого человека и подтверждаем подозрительную операцию. Это абсолютно корректно. Ничего в жизни более корректного не видел. У меня, если что гетерохромия, что, как вы понимаете, бросается в глаза, и навряд ли меня можно просто так спутать с мошенником.
По отчёту о входах в личный кабинет до сброса привязки и после этого, использовали одно устройство. Далее токен привязали к ApplePay, после чего произвели оплату по токену на сайте Re-store.
Apple почему то, так не считает, поскольку показывал, что телефон все это время был заблокирован. Да и то, что они сумели привязать все обратно к телефону, который был украден не вызвало у Тинькофф никаких подозрений, уже вызывает вопросы.
Для более детального разбора и помощи с возвратом средств вам необходимо обратиться в полицию. Мы будем всецело помогать следствию по их запросам.
Да, я уже, и даже показал это Тинькофф. Что делает полиция, это тема для отдельного поста, но, если что следователь уже уволился 2 недели назад.
По итогу: с счета банка Тинькофф у меня украли все деньги. Все ответы на мои претензии были в духе, что мы все сделали как надо, поэтому возвращать ничего не будем.
Вывод из этой истории предлагаю сделать вам самим, я же свой вывод сделал.
P.S. Пин-код конечно я уже поставил, но и он не панацея, и дальше уже буду обращаться в суд.
#жалобатинькофф
Виктор, добрый день!
Мы еще раз детально перепроверили ваш случай, подняли записи звонков, обращений в банк и хронологию всех событий.
Ситуация вырисовывается следующая:
Мошенник, который обратился от вашего имени в банк, действовал очень уверенно, был хорошо подготовлен, обладал ответами на вопросы, которые знать могли только вы, или которые он мог раздобыть, изучив внимательно всю информацию на украденном телефоне.
Благодаря этому он смог пройти проверку в банке, уверенно и без запинок ответил на все уточняющие вопросы службы безопасности, сумел внести изменения в контактные и кодовые данные и вывел деньги.
В ответе на банки.ру мы написали, что связались с вами по видеосвязи для предотвращения мошенничества – это не совсем точная формулировка и ошибка с нашей стороны: мы имели ввиду, что провели с вами видеозвонок уже после совершения мошеннических действий вечером 3 января, когда у вас возникли трудности с идентификацией.
Мы очень сожалеем в связи с тем, что вам пришлось столкнуться с таким видом мошенничества, и мы не смогли вас защитить сразу. Приносим вам свои извинения и надеемся, что вы останетесь нашим клиентом. Мы начислили вам компенсацию в размере похищенных средств.
На основе вашего случая мы доработаем процессы антифрода, чтобы не допускать повторения таких ситуаций в будущем и распознавать мошенников, которые могут ответить даже на все контрольные вопросы о клиенте.
Спасибо сайту VC!
Я крайне рад, что удалось решить эту проблему. Спасибо банку Тинькофф за оперативный и точный ответ на портале. Надеюсь вы сможете найти место, где подготавливают мошенников для взлома контрольных вопросов банка Тинькофф.
Но самую большую и искреннюю благодарность хотелось сказать пользователям VC, которые поддерживали меня в данном посте! И спасибо вновь зарегистрированным пользователям, которые решились высказать свое мнение по этому вопросу.
Надеюсь эта ситуация поможет пользователям улучшить защиту своего банковского счета. И о необходимости устанавливать пинкод, и полностью блокировать карты в случае пропажи телефона. Так же, поможет банку Тинькофф улучшить процесс проверки безопасности в банке и процесс рассмотрении обращений, чтобы не возникало таких неточностей.
Виктор, вы ещё расскажите как мошенники смогли зайти в iPhone заблокированный через iCloud.
Все немного пропустили данный момент, но у ТС не было пин кода на симке, который 'быстро ломается' и вместо того чтобы закрыть все счета и карту сразу, он два часа бегал с полицией, и только затем позвонил и умудрился не закрыть счёт и все операции по карте.
Спасибо только за то, что алгоритмы безопасности банка зачешуться после этого...
тебе сделали одолжение, а ты обязываешь к чему-то банк. Поблагодарить за внимание и помощь? -Не, не слышал
Лучше избавься от кредиток, чтобы никто не покупал айфоны. Которые ты себе позволить не можешь. Покупай за над в рассрочку. И Не тупи. Карту блокирует сразу и на следующий день её восстановят. А не титки мнешь, пока мошшеники кацфуют за тфтй счёт.
Виктор, а вы рады, что банк решил какую проблему то? ( если она была ??!))
- вам возместили что-то ?
- вы догнали, что к примеру , кодовое слово не надо хранить в телефоне ?
- банк усилит меры безопасности ?
- вы догнали, что к примеру , кодовое слово не надо хранить в телефоне ?
Где хранить кодовое слово, если не помнишь? Если ты его потерял как-то иначе, тоже вылезут такие советчики? Дело не в кодовом слове, а в том, что банк не запросил паспорт, как обязан
Оттуда инфа что не запросил?
Если не помнишь кодовое слово, то смени его на слово , которые помнишь , А не храни! Иначе смысл ?
Банк не запросил паспорт ? Это какая процедура ? Скан или данные ? Вы откуда знаете , что банк не запросил??!?! Может запросил просто данные, а в телефоне в фотографиях были фото документов, к примеру!
Вы специально зарегистрировались чтобы чушь нести?
Вопросы для идентификации личности задаются ровно те, что клиент сообщает банку при оформлении продукта.
Если автор статьи хранил все данные в телефоне, то конечно можно предположить, что мошенник на все ответил.
А теперь вопрос к автору статьи
Если вопрос улажен, т е вам компенсировали денежные потери , допустим , если сумма не большая
А как поживает ваше заявление в полицию ? У вас же ещё телефон украли.
Из-за твоего поста и возможности услышать мнение людей и возможно самой компании, даже зарегался и написал свой пост про отсутствие хоть какой-либо безопасности у мегафона. Просто мошенники могут спокойно пользоваться твоей симкой в течение нескольких часов, пока ты не добрался до офиса, чтобы заблочить
Артур, здравствуйте! В подобной ситуации мы рекомендуем подключить услугу "Блокировка по утрате SIM-карты". Первые 7 дней она предоставляется бесплатно, далее 1 руб. в день. Подробнее можете ознакомиться на нашем сайте: https://moscow.megafon.ru/help/services/blokirovka_nomera.html .
По всем возникающим вопросам можете обращаться к нам в личные сообщения официальных сообществ в ВКонтакте, Facebook или Twitter. Будем рады помочь во всем разобраться!
Здравствуйте. Допустим, как вариант.
В описании услуги нашел такой пункт для разблокировки:
Отправьте SMS на номер 0500 с действующего номера МегаФона
С действующего - это с какого, который НЕ заблокированный? И какую смс нужно отправить?
Здравствуйте! Самостоятельно отключить блокировку по утере возможности нет. Для этого достаточно обратиться с паспортом в наш салон, позвонить на номер 8 800 550 0500 или написать нам в личные сообщения официальных сообществ в ВКонтакте, Facebook или Twitter.
Отправка СМС на номер 0500 актуальна для отключения добровольной (временной) блокировки.
Понял, спасибо) То есть каждый из предложенных способов подразумевает проверку личных данных и хотя бы проверку кодовым словом?
И как конкретно происходит процедура проверки человека, если вам напишут в соц.сети?
Т.е.вы серьёзно ходите, чтобы сюда написали алгоритм для прохождения антифрода? Это как на утверждение "у меня длинный сложный пароль, который практически нереально взломать" накинуться с вопросами, ну и какой же это пароль, не скажите не поверю)
Не вижу параллелей. Процедуру не проблема описать, т.к. это всего лишь алгоритм действий. Как он может рассказать какую-то конфиденциальную информацию? А тем более чью?
Виктор, рад за тебя. Если поймёшь, в чем был факап и как можно защититься (кроме пина на симку) - напиши плиз. Все же из ответа банка неясно, как удалось получить доступ.
Достаточно зайти в фейсбук или вк. У большинства людей там личные данные есть.
И этих публичных данных достаточно для доступа к деньгам?
Видимо достаточно. Можно же ещё провести быстрый анализ ленты и других сетей. Люди любят оставлять о себе максимальное количество данных. Особенно владельцы айфонов. Если удастся получить доступ к банковскому приложению можно проанализировать траты и так далее.
Ну если автор тупой и палит в соц сети все свои данные то тут нет один антифрод не поможет
Комментарий удален модератором
Парень а почему у тебя на этой сим карте не было пин кода? И откуда мошенники узнали твои данные и ответы на кодовые слова например?
Виктор , добрый вечер, мне очень нужна ваша помощь по возврату денег снятых в другом городе бесконтактно в банкомате
Рад за ТС, что удачно решилось. Удивили полной компенсацией, реально молодцы! Но Вы как-то тактично умолчали о том, каким образом мошенник обошел видео-верификацию от СБ? Выглядел уверенно? )
Если что, я сам ваш клиент.
P.S. Мне кажется, или присутствие Олега на VC положительно сказывается на работе службы поддержки банка? 😂
С мошенникам они не связывались по видео, а связывались только с жертвой. Они уточнили это в своём ответе.
В упор не вижу там такого:
связались с вами по видеосвязи для предотвращения мошенничества – это не совсем точная формулировка и ошибка с нашей стороны: мы имели ввиду, что провели с вами видеозвонок уже после совершения мошеннических действийТут они просто уточняют формулировку, что связались по видео не до мошенничества, а после. Но ни слова о том, что с мошенниками не было видеосвязи, о которой они пишут на скриншоте ТС, после их слов о том, что была блокировка перевода с кредитной карты на дебетовую и её сняли после видео-верификации. Возможно здесь у них сортудники СБ и накосячили, а когда при детальной проверке банк это понял, то решили вернуть украденные деньги автору. Потому что иначе так любой желающий может разводить Тинькофф на деньги.
В любом случае, решение банка похвально. Не стали лезть в бутылку и валить все на клиента. Потому что не факт, что удалось бы убедить суд обязать банк предоставить запись видеозвонка с мошенниками.
Они также пишут, что мошенники хорошо изучили данные в телефоне и смогли ответить на все вопросы, но как они могли изучить данные, если тел был заблокирован.Про видео с мошенниками они уже не пишут.
Я конечно не в курсе, что именно там могли спрашивать по телефону. Но допускаю, что могли быть чисто формальные и очевидные вопросы, типа фио, дата рождения, номер/серия паспорта, которые можно пробить по базе паспортов. А данные о балансе карт, пополнениях/покупках взять из смс, которые могли локально храниться на симке, которая была без пина. Что там такого могли еще спросить, чтоб это можно было найти только в телефоне, который заблокирован?
Помимо этого, мошенники вполне могли восстановить доступы к почте или соц.сетям по номеру телефона, перебрав основные сервисы и оттуда найти еще больше информации.
Я не знаю, где на айфоне хранятся смски, но у меня на андройде они храняться в телефоне и даже если вытащить сим и вставить в другой телефон, смсок там не будет да и контактов тоже. Так что не известно, где мошенники могли взять данные из смс.
Или все таки связывались? А сейчас решили закрыть это. Так как это не ответы на вопрос, а именно лохонуись по связи
Вы откуда знаете про компенсацию ???
И что она полная ???
Свечку держали ???))
Лекарства забыли принять????
Мы начислили вам компенсацию в размере похищенных средств.Комментарий не читали???
Свечку в руках передержали, теперь эмоции зашкаливают????
Т е любой официальный комментарий для вас правда. Телек ещё чаще смотрите
Если бы это было не так, автор топика сообщил бы об этом. Так что не забудьте шапочку из фольги надевать почаще.
Видимо вам такое понятие как ORM не знакомо ... а вы ведётесь ))
Хорошо, что все так хорошо закончилось, но я на всякий случай залез в настройки в приложении, и теперь вместо одного контрольного вопроса у меня два. Скажите, как еще перестраховаться?
Не давать правильные ответы на контрольные вопросы.
На сайте мы подробно рассказали, как защититься от мошенников.
Никогда, никогда в жизни не связывайтесь с Тинькофф, уровень организации как в подворотной шараге. У меня с ними свои проблемы, так при попытках решения возникает ощущение, что общаюсь с пацанчиками с района. Ни одного компетентного сотрудника. Даже в этом ответе они признают проблему, но никак её не решают, как и у меня. А когда их приложение про инвестиции (к счастью, мне хватило ума с ним не связываться) упало в самый волатильный день в году, и люди потеряли деньги, они запостили в Твиттер шутеечку! Пошутили, просто пошутили, они же не какой-нибудь крупный банк, можно и пошутить.
"Через 3 часа.
Затем был звонок для изменения кодового слова. Мы получили нужное количество правильных ответов и внесли изменения. После этого мы также поменяли контактный номер телефона."
Вы не сделали основного : не сверили паспортные данные клиента, не запросили фотоподтверждение, что после заявления о хищении, к вам обращается именно держатель карт. Большинство банков требуют в первую очередь не кодовое слово, а паспорт. В вашем же случае, тк у вас нет офисов, требуется ещё и фото этого паспорта в руках клиента
Еще раз убедился что являюсь клиентом лучшего в рф банка.
Я не зря потратил час, на чтение истории и всех комментариев. Раскрывал все ветки ища именно этот пост 👍
я вам еще пару кейсов напишу.
1. если на телефоне выйти из приложения и зайти на другом телефоне, то на первый телефон продолжают идти пуши, включая коды! остановить это можно, удалив приложение, либо выйдя на всех устройствах через оператора. это дичь.
2. в ТБ нельзя скрыть счета ТИ. то есть мошенник, получив доступ к ТБ, получает доступ ко всем фин сервисам.
Интересный сайт VC, минуснуть пост нельзя, а лайкнуть банк можно :)
А как он прошёл голосовую идентификацию?
Спасибо что приняли такое лояльное к клиенту решение.
Все же мне неясно несколько моментов.
1. Почему не сработала идентификация голоса?
2. Откуда мошенник узнал информацию, чтобы пройти идентификацию? Понятно, что все гос данные слиты в даркнет и не только. Но всякие вопросы типа "сколько снимали наличных в последний раз" и тп?
3. В чем, по вашему мнению, ошибся клиент и как не допустить в будущем подобного?
А какие вопросы вы задавали? Можете не скрывать, мошенники уже и так знают :)
Комментарий удален модератором
Вот сравниваю я контрольные вопросы Тинькова и Модуля (приходилось и то и другое отвечать при замене СИМ). У Модуля вообщем счетом реально пользоваться надо, помнить примерно обороты, помнить что и куда с него платилось/приходило на него последнее время.
Ну да - в Модуле счет ИП.
Сам на модуле сижу, банк очень хороший, с 18 года с ними работаю, сменился номер, и пришлось менять его в модуле, так как старый не фурычил номер, отнеслись с полной серьезностью к смене номера, практически чуть мазки не взяли для проверки я это или нет:)
По моему, при проверке по видео связи, одни вопросы не хватит, именно из-за того что вы сами сказали что он подготовился. Иметь на руку и показать документ с фотографии как подтверждение будет самое то.
Комментарий удален модератором
Уважаемый банк, не увидел ни единого слова о вашей давней фишки идентификации по голосу, о которой были даже пресс-релизы. У мошенника и автора очень одинаковое бубубу? Очень важно знать, вдруг кто мою картавость тоже так сымитировать может, это не хухры-мухры :(
Так у вас же есть идентификация голоса которая работает и о которой вы кричали на всех углах. Или она была выключенная именно в этом момент случайным образом, аналогично тому когда новичком оппозиционеров травят камеры отрубаются? ЗАВРАЛИСЬ ВЫ ПОХОДУ СОВСЕМ.
Ахахах! Вчера мой телефон заменили на другой, а сегодня не хотели подтверждать. О какой безопасности речь??
Здравствуйте. Напишите, пожалуйста, ФИО и дату рождения нам в личку, проверим.
А что вам мегает добавить дополнительные проверки?
статический ip, токен генерирующий числа?
А почему вы просто не заблокировали карту сразу, вместо того чтобы отвязывать её от приложений и т.п.? Мне её сразу заблокировали даже просто после попытки оплаты онлайн третьими лицами, а тут у человека телефон украли и ничего. 🤔
Это что за лживая хрень? Мошенник изменил данные? Это ваши тупорылые сотрудники изменили данные
Уже как год дорабатываете. Была аналогичная ситуация в прошлом году, но с устройства вытащили токен мобильного приложения. Запросами Postman-подобной программой, что было предоставлено вашими же логами, происходил вывод средств с рублевого счёта. Средства спасло только то, что почти всё хранилось на долларовом счёте, баланс которого даже не проверяли.