Обнаружил, что к временному номеру Yota привязана чужая карта «Тинькофф» — банк так и не связался с её владельцем
Попробую кратко, но будет много скринов, предупреждаю сразу. Девушка разрешила использовать данный материал без фото и имён. В статье будет сразу 2 темы: как легко взломать человека, имея доступ к сим и публичным данным, а так же как компания «Тинькофф» плохо справилась с предупреждением клиента о взломе.
Вчера пришла смс от банка Тинькофф, в которой было написано о списании средств. Я очень удивился, так как такой валютой не пользуюсь, да и нет столько.
Заметил, что пришла смс на временный номер YOTA. Полез дальше разбираться. Стало интересно понять, ошибка это или чья-то карта привязана ко моему номеру. Сохранил номер телефона в контакты и увидел в телеграме ник. Теперь стало интересно как быстро я смогу получить доступ к какой-то из соцсетей. По нику я сразу нашел инстаграм и понял, что человек настоящий, активный. Фотки выложены недавно, в телеграм заходила тоже недавно.
Далее я попробовал войти через web-версию, чтоб ей пришёл код подтверждения в телеге. Посмотрел, что какое-то время её не было онлайн, параллельно посмотрел подробности в боте "Глаз Бога". Есть профиль ВК, имя, уже достаточно интересно.
Так как несколько минут после кода на вход в телеге не было никакой реакции, я решил найти её почту и ВК. В профиле есть возможность отправить e-mail, отсюда узнаём почту. Она состоит из фамилии и имени, поэтому в теории узнал ещё и фамилию. Попробовал восстановить доступ к почте, но тут потерпел фиаско - номер не совпадает. Попробовал в разных вариациях, не подходит.
Для восстановления доступа к ВК нужно знать фамилию, но у меня нет ссылки на страницу, чтоб узнать как правильно записана. В форме восстановления пароля я ввёл имя, попробовал фамилию из адреса почты на русском и английском, но ничего не получилось. Тогда я начал искать её окружение через инстаграм.
На отмеченной публикации нашел сразу несколько человек, один из них оказался её мужем. От него сразу нашёл ссылку на vc.ru о бизнесе с Китаем, но ссылки на личные соцсети нигде не было. И на странице в инсте ссылки на ВК тоже нет. Далее нашел в отметках свадебное фото и хештег с фамилией. Хорошая зацепка, но и она не сработала. Какая-то другая фамилия там.
Далее я понял, что сложно найти в отмеченных фотографиях людей с ссылками на ВК и пошёл в другую сторону. В закреплённых сторис нашел бывшее место работы. В поиске по группе ВК этого заведения нет никого с таким именем в разных комбинациях на русском и английском. Фиаско, двигаюсь дальше
Кое-как нашел сторис с человеком, у кого есть ссылка на профиль ВК. Но и тут оказалось безрезультатно.
Еще спустя время нашел фотографию с несколькими людьми. Всего у одного из них была ссылка на ВК, открыта страница и поиск по друзьям в этот раз принёс интересное совпадение, где-то я уже видел это фото.
Открываю страницу - БИНГО. Имя написано не стандартно, фамилия совсем другая. Буквально 40 минут неспешных поисков и у меня доступ к чужой странице ВК.
Что можно было сделать дальше - можно только представить. В сообщениях и вложениях к ним, в документах можно найти много интересного, что поможет получить доступ и к другим сервисам, банкам. С помощью социальной инженерии можно добыть множество личной информации, а так же написать всем друзьям скинуть денег на карту.
Но я не стал даже восстанавливать страницу ВК и менять пароль. Первым делом я сразу написал в чат поддержки банка Тинькофф об этом. В чате отметили моё неравнодушие и пообещали, что обязательно свяжутся с клиентом банка и сообщат ей об этом.
Однако верить банку я не стал и параллельно написал бывшему владельцу номера в телеграме. Расписал всю ситуацию, дал пару советов для безопасности, на что она сильно поблагодарила меня. Так же написал ей, что я сообщил об этом банку и попросил дать знать, когда банк с ней свяжется.
Сегодня заметил сброшенный автоматом звонок от банка Тинькофф. После перезвона я удивился, что они даже не могли пояснить причину звонка и пытались сослаться на оставленный номер телефона для заявки на кредит. Когда я им рассказал ситуацию, они начали невнятно неуверенно оправдываться, что разбираются с ситуацией. Меня это начало бесить, я напрямую спросил какие действия они совершают, чтоб предупредить своего клиента, на что они опять же не смогли дать никакого ответа. Об этом я сразу сообщил девушке, на что она дала прекрасный ответ - она обращалась в банк для смены номера самостоятельно и они даже не сообщили ей о том, что произошла такая ситуация. Зная по опыту как плохо работает поддержка в чате приложения, я написал сразу вопрос в твиттере, на что они выдали прекрасный ответ - пытались с ней связаться по всем телефонам, но безуспешно (конечно безуспешно, сим-карта у меня же). Но вообще никак не обратили внимания на то, что клиент сама с ними связывалась.
В последний раз написал в чат банка с скриншотом сообщения от девушки, где она пишет, что связывалась с банком. В ответ я получил "исходя из переписки, нет причин для беспокойства".....
Какой можно подвести итог.
1. Обязательно следите за своими личными данными, соблюдайте киберграмотность и цифровую гигиену. На сим-карту стоит поставить пин-код (не 0000) на случай потери телефона, на соцсети F2A защиту не по смс-коду, а так же не забывать отвязывать номера телефонов, которые более не будут использоваться. Девушка в итоге благополучно сменила номера телефонов везде где можно, скрыла важные данные в соцсетях.
2. Очень непонятно отношение банка Тинькофф в такой ситуации. Вместе с этой девушкой мы требуем от банка официального расследования ситуации и четкого грамотного ответа на множество вопросов: почему не отправили клиенту сообщение в чат поддержки, каким именно способом они пытались связаться к клиентом и сколько раз, почему после данной ситуации не была моментально заморожена банковская карта до выяснения обстоятельств (а ведь без этого могло бы быть всё куда хуже), почему банк не видит причин для беспокойства.
В случае, если кто-то получит доступ к этим деньгам, клиент останется ни с чем, а быть может ещё и с парой кредитов. Подобных кейсов полно в интернете. Банк получил информацию, которая очень важна для безопасности клиента. Банк мог отправить сообщение в чат поддержки с PUSH-уведомлением, на что клиент сразу обратила бы внимание, или заблокировать карту. Предпринять хоть какие-то серьезные действия, помимо звонков на мой номер телефона. А вместо этого ему требуется несколько дней дополнительного времени. На данный момент мы оба опасаемся иметь деньги на счету банка и ждём официального ответа с разъяснением ситуации от представителей.
Обычно ничего не пишу, но тут просто не смог пройти мимо из-за автора. Однозначно поддержка не смогла оперативно решить эту проблему. Первый агент поддержки передал кому-то этот запрос дальше, сотрудник, которому это передали, не стал особо заморачиваться и все ограничилось звонком на этот же номер 🤦♂️. Дальше автор общался с другими агентами поддержки и вместо того чтобы максимально ускорить процесс решения проблемы и ещё раз дать агенту вводные данные ситуации, автор начинает играть в бессмысленную агрессию, которая может быть частично и оправдана, но АБСОЛЮТНО НИКАК не приближает решение проблемы. "Время для пояснений", "звонки к черту", "угарные щщи", "вам насрать", "сломалась жопа", "ваш проеб". Ало Максим, к чему этот словесный понос? Краткое обрисование проблемы и просьба отправить пуш уведомление клиенту. Ещё раз, поддержка сработала неудовлетворительно и не смогла решить этот вопрос, но эмоциональное поведение автора тоже никак не способствовало скорейшему решению проблемы.
Соглашусь с этим. Однако сложно сдерживаться, когда банк обсирается практически каждый день (по большей части в связи мобайл). И только так они начинают хоть как-то шешевелиться (проверено неоднократно). Тут я был уже злой и на эиоциях
Когда я говорил с ними по телефону, перед этим, то объяснил ситуацию, а мне не смогли дать никакого ответа. Я им предложил решение, которое они могут быстро реализовать, но меня так же проигнорировали.
С этим банком одни жопногорящие эмоции. Когда объясняешь нормально, они не понимают. Когда начинаешь наезжать, то начинают быть внимательнее и лучше находят специалиста, который может помочь с проблемой, и перестают задавать глупые вопросы. Но это до тех пор, пока не переключится диалог на другого.
Я поддержу Максима. Когда поддержка имеет крайне низкую квалификацию, отвечает шаблонами, даже не прочитав полностью вопрос, и это происходит ПОСТОЯННО, крайне сложно удерживаться от агрессии. Ты просто понимаешь, насколько банку на тебя наплевать, если твоя проблема является еще одним тикетом, который успешный менеджер успешно отработал за 1 секунду жмакнув на первый попавшийся ответ.
Полностью согласен.
Сегодня вылез таргет с предложением работы в Тинькофф. Большой акцент на то, что берут кого угодно, опыт не нужен, берут абсолютно всех. Думаю, это объясняет многое.
Когда обращался в поддержку Тинькофф Мобайл и отправлял скрины, что интернет не работает, каждая падла (извините, но другого слова просто нет) отвечала, что у меня просто нет сети и предлагали перезагрузить телефон (на 11 Андроиде значок крестика рядом с делениями связи означает, что нет интернета)
Очень, очень много раз спрашивали модель телефона и операционную систему (в день могли по несколько раз), и абсолютно каждый раз утверждали, что у меня нет сети.
Удивлён, что их не обучают самым главным вещам. Как минимум, технические знания значков в статус-баре. А главное - не задавать тупых вопросов, когда можно пролистать пару сообщений выше. В этом плане YOTA молодцы, пишут "Изучаю историю переписки, чтобы не задавать лишних вопросов. Это займёт пару минут"
Такая мелочь, а достойна уважения.