Обнаружил, что к временному номеру Yota привязана чужая карта «Тинькофф» — банк так и не связался с её владельцем

Попробую кратко, но будет много скринов, предупреждаю сразу. Девушка разрешила использовать данный материал без фото и имён. В статье будет сразу 2 темы: как легко взломать человека, имея доступ к сим и публичным данным, а так же как компания «Тинькофф» плохо справилась с предупреждением клиента о взломе.

Вчера пришла смс от банка Тинькофф, в которой было написано о списании средств. Я очень удивился, так как такой валютой не пользуюсь, да и нет столько.

Заметил, что пришла смс на временный номер YOTA. Полез дальше разбираться. Стало интересно понять, ошибка это или чья-то карта привязана ко моему номеру. Сохранил номер телефона в контакты и увидел в телеграме ник. Теперь стало интересно как быстро я смогу получить доступ к какой-то из соцсетей. По нику я сразу нашел инстаграм и понял, что человек настоящий, активный. Фотки выложены недавно, в телеграм заходила тоже недавно.

Далее я попробовал войти через web-версию, чтоб ей пришёл код подтверждения в телеге. Посмотрел, что какое-то время её не было онлайн, параллельно посмотрел подробности в боте "Глаз Бога". Есть профиль ВК, имя, уже достаточно интересно.

Так как несколько минут после кода на вход в телеге не было никакой реакции, я решил найти её почту и ВК. В профиле есть возможность отправить e-mail, отсюда узнаём почту. Она состоит из фамилии и имени, поэтому в теории узнал ещё и фамилию. Попробовал восстановить доступ к почте, но тут потерпел фиаско - номер не совпадает. Попробовал в разных вариациях, не подходит.

Для восстановления доступа к ВК нужно знать фамилию, но у меня нет ссылки на страницу, чтоб узнать как правильно записана. В форме восстановления пароля я ввёл имя, попробовал фамилию из адреса почты на русском и английском, но ничего не получилось. Тогда я начал искать её окружение через инстаграм.

На отмеченной публикации нашел сразу несколько человек, один из них оказался её мужем. От него сразу нашёл ссылку на vc.ru о бизнесе с Китаем, но ссылки на личные соцсети нигде не было. И на странице в инсте ссылки на ВК тоже нет. Далее нашел в отметках свадебное фото и хештег с фамилией. Хорошая зацепка, но и она не сработала. Какая-то другая фамилия там.

Далее я понял, что сложно найти в отмеченных фотографиях людей с ссылками на ВК и пошёл в другую сторону. В закреплённых сторис нашел бывшее место работы. В поиске по группе ВК этого заведения нет никого с таким именем в разных комбинациях на русском и английском. Фиаско, двигаюсь дальше

Кое-как нашел сторис с человеком, у кого есть ссылка на профиль ВК. Но и тут оказалось безрезультатно.

Еще спустя время нашел фотографию с несколькими людьми. Всего у одного из них была ссылка на ВК, открыта страница и поиск по друзьям в этот раз принёс интересное совпадение, где-то я уже видел это фото.

Открываю страницу - БИНГО. Имя написано не стандартно, фамилия совсем другая. Буквально 40 минут неспешных поисков и у меня доступ к чужой странице ВК.

Что можно было сделать дальше - можно только представить. В сообщениях и вложениях к ним, в документах можно найти много интересного, что поможет получить доступ и к другим сервисам, банкам. С помощью социальной инженерии можно добыть множество личной информации, а так же написать всем друзьям скинуть денег на карту.

Но я не стал даже восстанавливать страницу ВК и менять пароль. Первым делом я сразу написал в чат поддержки банка Тинькофф об этом. В чате отметили моё неравнодушие и пообещали, что обязательно свяжутся с клиентом банка и сообщат ей об этом.

Однако верить банку я не стал и параллельно написал бывшему владельцу номера в телеграме. Расписал всю ситуацию, дал пару советов для безопасности, на что она сильно поблагодарила меня. Так же написал ей, что я сообщил об этом банку и попросил дать знать, когда банк с ней свяжется.

Сегодня заметил сброшенный автоматом звонок от банка Тинькофф. После перезвона я удивился, что они даже не могли пояснить причину звонка и пытались сослаться на оставленный номер телефона для заявки на кредит. Когда я им рассказал ситуацию, они начали невнятно неуверенно оправдываться, что разбираются с ситуацией. Меня это начало бесить, я напрямую спросил какие действия они совершают, чтоб предупредить своего клиента, на что они опять же не смогли дать никакого ответа. Об этом я сразу сообщил девушке, на что она дала прекрасный ответ - она обращалась в банк для смены номера самостоятельно и они даже не сообщили ей о том, что произошла такая ситуация. Зная по опыту как плохо работает поддержка в чате приложения, я написал сразу вопрос в твиттере, на что они выдали прекрасный ответ - пытались с ней связаться по всем телефонам, но безуспешно (конечно безуспешно, сим-карта у меня же). Но вообще никак не обратили внимания на то, что клиент сама с ними связывалась.

В последний раз написал в чат банка с скриншотом сообщения от девушки, где она пишет, что связывалась с банком. В ответ я получил "исходя из переписки, нет причин для беспокойства".....

Какой можно подвести итог.

1. Обязательно следите за своими личными данными, соблюдайте киберграмотность и цифровую гигиену. На сим-карту стоит поставить пин-код (не 0000) на случай потери телефона, на соцсети F2A защиту не по смс-коду, а так же не забывать отвязывать номера телефонов, которые более не будут использоваться. Девушка в итоге благополучно сменила номера телефонов везде где можно, скрыла важные данные в соцсетях.

2. Очень непонятно отношение банка Тинькофф в такой ситуации. Вместе с этой девушкой мы требуем от банка официального расследования ситуации и четкого грамотного ответа на множество вопросов: почему не отправили клиенту сообщение в чат поддержки, каким именно способом они пытались связаться к клиентом и сколько раз, почему после данной ситуации не была моментально заморожена банковская карта до выяснения обстоятельств (а ведь без этого могло бы быть всё куда хуже), почему банк не видит причин для беспокойства.

В случае, если кто-то получит доступ к этим деньгам, клиент останется ни с чем, а быть может ещё и с парой кредитов. Подобных кейсов полно в интернете. Банк получил информацию, которая очень важна для безопасности клиента. Банк мог отправить сообщение в чат поддержки с PUSH-уведомлением, на что клиент сразу обратила бы внимание, или заблокировать карту. Предпринять хоть какие-то серьезные действия, помимо звонков на мой номер телефона. А вместо этого ему требуется несколько дней дополнительного времени. На данный момент мы оба опасаемся иметь деньги на счету банка и ждём официального ответа с разъяснением ситуации от представителей.

0
186 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Максим Когут
Автор

Если писать в ТП ВКонтакте, то они отвечают на обращение не менее суток. В телегу - тоже вряд-ли, что сразу ответят. Так как я увидел сообщение от банка, сразу предупредил их, что у меня доступ к номеру клиента. Такое уведомление от меня как минимум говорит о том, что если владелец будет менять номер, то глупо будет присылать мне код подтверждения (если он вообще требуется у них)
У них есть возможность очень быстро связаться с клиентом - дополнительные телефоны, PUSH с сообщением в чат поддержки, да хотя бы просто заморозить карту в случае чего. Но вместо этого они звонили мне, да ещё и на следующий день)

Да и когда им нужно, то в поисках должника они находят номер телефона бабушки в другом городе, да ещё и стационарный, и кошмарят её. А тут с важной, но простой задачей не справились

Это как принести найденную банковскую карту обратно в банк и попросить связаться с клиентом, а они будут так же сопли жевать... В таких случаях затягивать не стоит и нужно сообщать клиенту как можно быстрее.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Максим Когут
Автор

Я не менял заголовок, его сменил кто-то со стороны VC. Я тоже оказался удивлён этим.

А что касается слова взлом с моей стороны: я получил доступ к странице ВК. Взлом - получение несанкционированного доступа. Владелец не знала, по сути это можно считать взломом. Понятие достаточно обширное - от метода "подсмотреть пароль" до использования вирусов.

Ответить
Развернуть ветку
Вадим Пушш

Вы взломали вк-аккаунт и вощмущаетесь, что банк не предупредил клиента о якобы взломе его вк-аккаунта и не заблокировал его карту? Ну, это прям... Вот, прелставьие, я звоню в ваш банк и утверждаю, что взломал ваш вк-аккаунт. Банк такой - окей, блокируем вам карту. Вы будете счастливы? 

Ответить
Развернуть ветку
Максим Когут
Автор

Здесь не просто доступ к странице ВК, а доступ к номеру телефона, на котором завязан не только банк и карта, но и много других сервисов, включая госуслуги. К этому сервису ну уж очень рискованно потерять доступ.
Банк получил сигнал о плохой ситуации и мог сразу оповестить клиента, но не сделал это. А я мог не предупредить девушку об этом напрямую.
Уже завтра у меня не будет доступа к этому номеру телефона и другой человек, который его получит, может сделать с этим все что вздумается. Если банк предупредит об этом и приостановит карту - это будет лучшее, что он мог бы сделать в такой ситуации. Потому что догонять мошенника потом никто не станет. Стандартный ответ - введен код из смс, он является подтверждением личности, нас не ебёт, это нельзя оспорить.

Ответить
Развернуть ветку
Вадим Пушш

То, что номер у вас как раз и означает, что предупредить его не смогут. Зачем при этом морозить счёт?!? Оставить человека просто так без денег на основании голословных утверждений третьего лица? Это худшее, что мог сделать банк и хорошо, что не сделал. 
Госуслуги, вк и прочая ересь - это вообще НЕ проблема банка. 

Ответить
Развернуть ветку
Максим Когут
Автор

Все они могут. Приложение на телефоне у человека стоит, одно сообщение через чат поддержки и никаких проблем.
Искренне желаю вам никогда не попасть в подобную ситуацию. Неприятненько будет узнать, что у вас увел деньги какой-то новый владелец номера, а предыдущий перед ним человек предупреждал банк и просил связаться с клиентом. Думаю, в такой ситуации вы бы не оправдывали банк, что это не его проблемы.

Ответить
Развернуть ветку
Вадим Пушш

Я, например, месяцами в приложение не захожу и то, что там в чате напишут не увижу. А вы всё время сидите в чате поддержки банка? Ну, это редкость же. Большинство вообще и приложение не устанавливают. Особенно те, кто указывают временный номер телефона. 
И вы так и не описали модели атаки с вашими данными. На мой азгляд, тут нет повода для истерики. Вы молодец, что предупредили всех, но опасность немного преувеличена. 

Ответить
Развернуть ветку
Максим Когут
Автор

У меня этот номер временный, а у человека раньше он был постоянным. Сообщение в чате поддержки выдает уведомление, которое видно сразу.
Да, возможно я преувеличил возможные последствия. Но на то они и возможные. Чтоб представить потери, нужно возвести ситуацию в абсолют. Иначе "авось пронесёт, чё сделать то могут" может стоить дорого

Знаю такие ситуации, проходили уже. Самое безобидное что могут сделать - попросить у всех друзей ВК скинуть пятихатку на пару дней. Хуже - шантаж, быстрозайм, кредит.

Лучше перебдеть один раз и пусть это может оказаться лишним, чем кто-то может пострадать. По итогу героиня истории меня поблагодарила, мы с ней пообщались и все хорошо закончилось. Пообщались полчаса назад с банком по телефону, не удовлетворен их работой, но некоторые недоработки в ситуации они признают. Поблагодарили меня за сверхбдительность и предложили бесплатное пожизненное обслуживание по одной из карт. Хоть и хорошее предложение с их стороны, но поведением их я все-равно не удовлетворен

Ответить
Развернуть ветку
Вадим Пушш

При чём здесь авось? Вы так и не привели модели атаки на банковский счёт. И при чём здесь опять вк? Опять  банк отвечает за то, что вы вк аккаунт взломали? Детский сад. Пишите в спортлото. 

Ответить
Развернуть ветку
183 комментария
Раскрывать всегда