Обнаружил, что к временному номеру Yota привязана чужая карта «Тинькофф» — банк так и не связался с её владельцем
Попробую кратко, но будет много скринов, предупреждаю сразу. Девушка разрешила использовать данный материал без фото и имён. В статье будет сразу 2 темы: как легко взломать человека, имея доступ к сим и публичным данным, а так же как компания «Тинькофф» плохо справилась с предупреждением клиента о взломе.
Вчера пришла смс от банка Тинькофф, в которой было написано о списании средств. Я очень удивился, так как такой валютой не пользуюсь, да и нет столько.
Заметил, что пришла смс на временный номер YOTA. Полез дальше разбираться. Стало интересно понять, ошибка это или чья-то карта привязана ко моему номеру. Сохранил номер телефона в контакты и увидел в телеграме ник. Теперь стало интересно как быстро я смогу получить доступ к какой-то из соцсетей. По нику я сразу нашел инстаграм и понял, что человек настоящий, активный. Фотки выложены недавно, в телеграм заходила тоже недавно.
Далее я попробовал войти через web-версию, чтоб ей пришёл код подтверждения в телеге. Посмотрел, что какое-то время её не было онлайн, параллельно посмотрел подробности в боте "Глаз Бога". Есть профиль ВК, имя, уже достаточно интересно.
Так как несколько минут после кода на вход в телеге не было никакой реакции, я решил найти её почту и ВК. В профиле есть возможность отправить e-mail, отсюда узнаём почту. Она состоит из фамилии и имени, поэтому в теории узнал ещё и фамилию. Попробовал восстановить доступ к почте, но тут потерпел фиаско - номер не совпадает. Попробовал в разных вариациях, не подходит.
Для восстановления доступа к ВК нужно знать фамилию, но у меня нет ссылки на страницу, чтоб узнать как правильно записана. В форме восстановления пароля я ввёл имя, попробовал фамилию из адреса почты на русском и английском, но ничего не получилось. Тогда я начал искать её окружение через инстаграм.
На отмеченной публикации нашел сразу несколько человек, один из них оказался её мужем. От него сразу нашёл ссылку на vc.ru о бизнесе с Китаем, но ссылки на личные соцсети нигде не было. И на странице в инсте ссылки на ВК тоже нет. Далее нашел в отметках свадебное фото и хештег с фамилией. Хорошая зацепка, но и она не сработала. Какая-то другая фамилия там.
Далее я понял, что сложно найти в отмеченных фотографиях людей с ссылками на ВК и пошёл в другую сторону. В закреплённых сторис нашел бывшее место работы. В поиске по группе ВК этого заведения нет никого с таким именем в разных комбинациях на русском и английском. Фиаско, двигаюсь дальше
Кое-как нашел сторис с человеком, у кого есть ссылка на профиль ВК. Но и тут оказалось безрезультатно.
Еще спустя время нашел фотографию с несколькими людьми. Всего у одного из них была ссылка на ВК, открыта страница и поиск по друзьям в этот раз принёс интересное совпадение, где-то я уже видел это фото.
Открываю страницу - БИНГО. Имя написано не стандартно, фамилия совсем другая. Буквально 40 минут неспешных поисков и у меня доступ к чужой странице ВК.
Что можно было сделать дальше - можно только представить. В сообщениях и вложениях к ним, в документах можно найти много интересного, что поможет получить доступ и к другим сервисам, банкам. С помощью социальной инженерии можно добыть множество личной информации, а так же написать всем друзьям скинуть денег на карту.
Но я не стал даже восстанавливать страницу ВК и менять пароль. Первым делом я сразу написал в чат поддержки банка Тинькофф об этом. В чате отметили моё неравнодушие и пообещали, что обязательно свяжутся с клиентом банка и сообщат ей об этом.
Однако верить банку я не стал и параллельно написал бывшему владельцу номера в телеграме. Расписал всю ситуацию, дал пару советов для безопасности, на что она сильно поблагодарила меня. Так же написал ей, что я сообщил об этом банку и попросил дать знать, когда банк с ней свяжется.
Сегодня заметил сброшенный автоматом звонок от банка Тинькофф. После перезвона я удивился, что они даже не могли пояснить причину звонка и пытались сослаться на оставленный номер телефона для заявки на кредит. Когда я им рассказал ситуацию, они начали невнятно неуверенно оправдываться, что разбираются с ситуацией. Меня это начало бесить, я напрямую спросил какие действия они совершают, чтоб предупредить своего клиента, на что они опять же не смогли дать никакого ответа. Об этом я сразу сообщил девушке, на что она дала прекрасный ответ - она обращалась в банк для смены номера самостоятельно и они даже не сообщили ей о том, что произошла такая ситуация. Зная по опыту как плохо работает поддержка в чате приложения, я написал сразу вопрос в твиттере, на что они выдали прекрасный ответ - пытались с ней связаться по всем телефонам, но безуспешно (конечно безуспешно, сим-карта у меня же). Но вообще никак не обратили внимания на то, что клиент сама с ними связывалась.
В последний раз написал в чат банка с скриншотом сообщения от девушки, где она пишет, что связывалась с банком. В ответ я получил "исходя из переписки, нет причин для беспокойства".....
Какой можно подвести итог.
1. Обязательно следите за своими личными данными, соблюдайте киберграмотность и цифровую гигиену. На сим-карту стоит поставить пин-код (не 0000) на случай потери телефона, на соцсети F2A защиту не по смс-коду, а так же не забывать отвязывать номера телефонов, которые более не будут использоваться. Девушка в итоге благополучно сменила номера телефонов везде где можно, скрыла важные данные в соцсетях.
2. Очень непонятно отношение банка Тинькофф в такой ситуации. Вместе с этой девушкой мы требуем от банка официального расследования ситуации и четкого грамотного ответа на множество вопросов: почему не отправили клиенту сообщение в чат поддержки, каким именно способом они пытались связаться к клиентом и сколько раз, почему после данной ситуации не была моментально заморожена банковская карта до выяснения обстоятельств (а ведь без этого могло бы быть всё куда хуже), почему банк не видит причин для беспокойства.
В случае, если кто-то получит доступ к этим деньгам, клиент останется ни с чем, а быть может ещё и с парой кредитов. Подобных кейсов полно в интернете. Банк получил информацию, которая очень важна для безопасности клиента. Банк мог отправить сообщение в чат поддержки с PUSH-уведомлением, на что клиент сразу обратила бы внимание, или заблокировать карту. Предпринять хоть какие-то серьезные действия, помимо звонков на мой номер телефона. А вместо этого ему требуется несколько дней дополнительного времени. На данный момент мы оба опасаемся иметь деньги на счету банка и ждём официального ответа с разъяснением ситуации от представителей.
Здравствуйте.
Мы сейчас занимаемся комплексно разбором этой ситуации.
Хотим разобраться, почему так произошло и обязательно к вам вернемся.
Комментарий недоступен
Комментарий недоступен
Открытие мне на днях, хоть и после скандала, вернули комиссию за перевод, о которой не упомянули в явном виде. Считаю, что неплохо сработали, для современного банка.
Прокатило
- не прокатило, вычёркиваем.
У меня есть несколько кейсов с другими банками, которые тоже достойны отдельных статей. В банке Открытие оформил моментальную дебетовую карту + 1 дополнительную к ней. То что сотрудники не знают что значат пункты в договоре - это стандартная ситуация во всех банках. Но здесь сотрудница умудрилась оформить мне 2 дополнительные карты, а при поступлении денег комиссия списалась сразу за все 3 карты, несмотря на то, что дополнительные ещё не было изготовлены и были не активные.
Когда пришел рвать отношения и возвращать деньги, умудрились сделать расходник ещё до выдачи и через другой регион с разницей во времени (пришел в 10 утра). Ещё практически час пришлось сидеть и ждать, когда они решат этот косяк.
Вот так вот на ровном месте обделались и продолжают до сих пор (отзываю ПД уже продолжительное время)
Тинькофф и за явный вид возвращает.
Да никуда человек не перевёл, ответа вы не дождётесь. Плюсиков-то заработать надо.
Я не очень много банков успел карты использовать. Но пока самый положительный - Райффайзен, хотя и пользуюсь всего ничего им.
Самый отрицательный Совком. Сколько танцев с бубном было закрытие карты бывшей Совести (как иронично). У меня почему-то не прогружался чат адекватно, перезагружал постоянно приложение их, чтобы отвечать (даже с уже появившимся оператором ответы почему-то превышали 10минут и я не знал у меня глючит приложение или так долго думает оператор, последнее было чаще). Каждый раз отправлял "оператор", и копировал одно и тоже сообщение, что хочу карту закрыть уже ближе к концу.
Сначала пытался бодаться с помощником, отправляя после нескольких сообщений с ним "оператор", а операторы не в курсе были чем помочь и если я не отвечал, никакой реакции на закрытие карты не получал. Формулировка была типа "чем могу помочь?", а я из-за глюков не вовремя дублировал сообщение.
Сейчас не могу вспомнить почему не закрыл через приложение, а в чат обращался. Помню, что пытался, но там какая-то фигня была, то ли в чат писалось надо обращаться для закрытия, то ли ещё какая хрень.