Обнаружил, что к временному номеру Yota привязана чужая карта «Тинькофф» — банк так и не связался с её владельцем

Попробую кратко, но будет много скринов, предупреждаю сразу. Девушка разрешила использовать данный материал без фото и имён. В статье будет сразу 2 темы: как легко взломать человека, имея доступ к сим и публичным данным, а так же как компания «Тинькофф» плохо справилась с предупреждением клиента о взломе.

Вчера пришла смс от банка Тинькофф, в которой было написано о списании средств. Я очень удивился, так как такой валютой не пользуюсь, да и нет столько.

Заметил, что пришла смс на временный номер YOTA. Полез дальше разбираться. Стало интересно понять, ошибка это или чья-то карта привязана ко моему номеру. Сохранил номер телефона в контакты и увидел в телеграме ник. Теперь стало интересно как быстро я смогу получить доступ к какой-то из соцсетей. По нику я сразу нашел инстаграм и понял, что человек настоящий, активный. Фотки выложены недавно, в телеграм заходила тоже недавно.

Далее я попробовал войти через web-версию, чтоб ей пришёл код подтверждения в телеге. Посмотрел, что какое-то время её не было онлайн, параллельно посмотрел подробности в боте "Глаз Бога". Есть профиль ВК, имя, уже достаточно интересно.

Так как несколько минут после кода на вход в телеге не было никакой реакции, я решил найти её почту и ВК. В профиле есть возможность отправить e-mail, отсюда узнаём почту. Она состоит из фамилии и имени, поэтому в теории узнал ещё и фамилию. Попробовал восстановить доступ к почте, но тут потерпел фиаско - номер не совпадает. Попробовал в разных вариациях, не подходит.

Для восстановления доступа к ВК нужно знать фамилию, но у меня нет ссылки на страницу, чтоб узнать как правильно записана. В форме восстановления пароля я ввёл имя, попробовал фамилию из адреса почты на русском и английском, но ничего не получилось. Тогда я начал искать её окружение через инстаграм.

На отмеченной публикации нашел сразу несколько человек, один из них оказался её мужем. От него сразу нашёл ссылку на vc.ru о бизнесе с Китаем, но ссылки на личные соцсети нигде не было. И на странице в инсте ссылки на ВК тоже нет. Далее нашел в отметках свадебное фото и хештег с фамилией. Хорошая зацепка, но и она не сработала. Какая-то другая фамилия там.

Далее я понял, что сложно найти в отмеченных фотографиях людей с ссылками на ВК и пошёл в другую сторону. В закреплённых сторис нашел бывшее место работы. В поиске по группе ВК этого заведения нет никого с таким именем в разных комбинациях на русском и английском. Фиаско, двигаюсь дальше

Кое-как нашел сторис с человеком, у кого есть ссылка на профиль ВК. Но и тут оказалось безрезультатно.

Еще спустя время нашел фотографию с несколькими людьми. Всего у одного из них была ссылка на ВК, открыта страница и поиск по друзьям в этот раз принёс интересное совпадение, где-то я уже видел это фото.

Открываю страницу - БИНГО. Имя написано не стандартно, фамилия совсем другая. Буквально 40 минут неспешных поисков и у меня доступ к чужой странице ВК.

Что можно было сделать дальше - можно только представить. В сообщениях и вложениях к ним, в документах можно найти много интересного, что поможет получить доступ и к другим сервисам, банкам. С помощью социальной инженерии можно добыть множество личной информации, а так же написать всем друзьям скинуть денег на карту.

Но я не стал даже восстанавливать страницу ВК и менять пароль. Первым делом я сразу написал в чат поддержки банка Тинькофф об этом. В чате отметили моё неравнодушие и пообещали, что обязательно свяжутся с клиентом банка и сообщат ей об этом.

Однако верить банку я не стал и параллельно написал бывшему владельцу номера в телеграме. Расписал всю ситуацию, дал пару советов для безопасности, на что она сильно поблагодарила меня. Так же написал ей, что я сообщил об этом банку и попросил дать знать, когда банк с ней свяжется.

Сегодня заметил сброшенный автоматом звонок от банка Тинькофф. После перезвона я удивился, что они даже не могли пояснить причину звонка и пытались сослаться на оставленный номер телефона для заявки на кредит. Когда я им рассказал ситуацию, они начали невнятно неуверенно оправдываться, что разбираются с ситуацией. Меня это начало бесить, я напрямую спросил какие действия они совершают, чтоб предупредить своего клиента, на что они опять же не смогли дать никакого ответа. Об этом я сразу сообщил девушке, на что она дала прекрасный ответ - она обращалась в банк для смены номера самостоятельно и они даже не сообщили ей о том, что произошла такая ситуация. Зная по опыту как плохо работает поддержка в чате приложения, я написал сразу вопрос в твиттере, на что они выдали прекрасный ответ - пытались с ней связаться по всем телефонам, но безуспешно (конечно безуспешно, сим-карта у меня же). Но вообще никак не обратили внимания на то, что клиент сама с ними связывалась.

В последний раз написал в чат банка с скриншотом сообщения от девушки, где она пишет, что связывалась с банком. В ответ я получил "исходя из переписки, нет причин для беспокойства".....

Какой можно подвести итог.

1. Обязательно следите за своими личными данными, соблюдайте киберграмотность и цифровую гигиену. На сим-карту стоит поставить пин-код (не 0000) на случай потери телефона, на соцсети F2A защиту не по смс-коду, а так же не забывать отвязывать номера телефонов, которые более не будут использоваться. Девушка в итоге благополучно сменила номера телефонов везде где можно, скрыла важные данные в соцсетях.

2. Очень непонятно отношение банка Тинькофф в такой ситуации. Вместе с этой девушкой мы требуем от банка официального расследования ситуации и четкого грамотного ответа на множество вопросов: почему не отправили клиенту сообщение в чат поддержки, каким именно способом они пытались связаться к клиентом и сколько раз, почему после данной ситуации не была моментально заморожена банковская карта до выяснения обстоятельств (а ведь без этого могло бы быть всё куда хуже), почему банк не видит причин для беспокойства.

В случае, если кто-то получит доступ к этим деньгам, клиент останется ни с чем, а быть может ещё и с парой кредитов. Подобных кейсов полно в интернете. Банк получил информацию, которая очень важна для безопасности клиента. Банк мог отправить сообщение в чат поддержки с PUSH-уведомлением, на что клиент сразу обратила бы внимание, или заблокировать карту. Предпринять хоть какие-то серьезные действия, помимо звонков на мой номер телефона. А вместо этого ему требуется несколько дней дополнительного времени. На данный момент мы оба опасаемся иметь деньги на счету банка и ждём официального ответа с разъяснением ситуации от представителей.

0
186 комментариев
Написать комментарий...
Вася Михеев

Что-то каким-то хайпом попахивает с нотками... вранья.

Есть у вас в руках чужая сим-карта. Ок. Вход в вк по паролю, но вы, типа, его забыли, тогда вам понадобится указать почтовый ящик или другие данные. Без оных в ТП вк вас пошлют.

Так, дальше, есть у вас номер, но в ЛК тинькофф вы не зайдете без пароля. Да, у вас будет временный код по смс, но этого как-то маловато для входа.

А вот слив своего номера опсосу - это да, косяк девушки. Я так как-то тоже без симки мегафона остался - за неиспользование в течение 3 месяцев забрали. Сочувствую девушке, которая его приобрела - у меня на него было много контактов завязано. 
Милая девушка, обладательница номера на 14-41, мой вам пламенный привет :)

p.s. я тогда не догадался позвонить на него и выкупить. 

Ответить
Развернуть ветку
Максим Когут
Автор

В ВК восстановление пароля происходит через СМС с указанием фамилии как верификации, что ты не левый чел. Десятки раз восстанавливал свой пароль таким образом, никогда не требует махинаций с почтой. Просто приходит смс, а на почту оповещение, что сменен пароль. Вот такая система защиты

Ответить
Развернуть ветку
KSA
 Десятки раз восстанавливал свой пароль таким образом

Запомнил пароль или до сих пор восстанавливаешь?

Ответить
Развернуть ветку
Максим Когут
Автор

Теперь пользуюсь менеджером паролей и никогда не запоминаю их.

Ответить
Развернуть ветку
183 комментария
Раскрывать всегда