Обнаружил, что к временному номеру Yota привязана чужая карта «Тинькофф» — банк так и не связался с её владельцем
Попробую кратко, но будет много скринов, предупреждаю сразу. Девушка разрешила использовать данный материал без фото и имён. В статье будет сразу 2 темы: как легко взломать человека, имея доступ к сим и публичным данным, а так же как компания «Тинькофф» плохо справилась с предупреждением клиента о взломе.
Вчера пришла смс от банка Тинькофф, в которой было написано о списании средств. Я очень удивился, так как такой валютой не пользуюсь, да и нет столько.
Заметил, что пришла смс на временный номер YOTA. Полез дальше разбираться. Стало интересно понять, ошибка это или чья-то карта привязана ко моему номеру. Сохранил номер телефона в контакты и увидел в телеграме ник. Теперь стало интересно как быстро я смогу получить доступ к какой-то из соцсетей. По нику я сразу нашел инстаграм и понял, что человек настоящий, активный. Фотки выложены недавно, в телеграм заходила тоже недавно.
Далее я попробовал войти через web-версию, чтоб ей пришёл код подтверждения в телеге. Посмотрел, что какое-то время её не было онлайн, параллельно посмотрел подробности в боте "Глаз Бога". Есть профиль ВК, имя, уже достаточно интересно.
Так как несколько минут после кода на вход в телеге не было никакой реакции, я решил найти её почту и ВК. В профиле есть возможность отправить e-mail, отсюда узнаём почту. Она состоит из фамилии и имени, поэтому в теории узнал ещё и фамилию. Попробовал восстановить доступ к почте, но тут потерпел фиаско - номер не совпадает. Попробовал в разных вариациях, не подходит.
Для восстановления доступа к ВК нужно знать фамилию, но у меня нет ссылки на страницу, чтоб узнать как правильно записана. В форме восстановления пароля я ввёл имя, попробовал фамилию из адреса почты на русском и английском, но ничего не получилось. Тогда я начал искать её окружение через инстаграм.
На отмеченной публикации нашел сразу несколько человек, один из них оказался её мужем. От него сразу нашёл ссылку на vc.ru о бизнесе с Китаем, но ссылки на личные соцсети нигде не было. И на странице в инсте ссылки на ВК тоже нет. Далее нашел в отметках свадебное фото и хештег с фамилией. Хорошая зацепка, но и она не сработала. Какая-то другая фамилия там.
Далее я понял, что сложно найти в отмеченных фотографиях людей с ссылками на ВК и пошёл в другую сторону. В закреплённых сторис нашел бывшее место работы. В поиске по группе ВК этого заведения нет никого с таким именем в разных комбинациях на русском и английском. Фиаско, двигаюсь дальше
Кое-как нашел сторис с человеком, у кого есть ссылка на профиль ВК. Но и тут оказалось безрезультатно.
Еще спустя время нашел фотографию с несколькими людьми. Всего у одного из них была ссылка на ВК, открыта страница и поиск по друзьям в этот раз принёс интересное совпадение, где-то я уже видел это фото.
Открываю страницу - БИНГО. Имя написано не стандартно, фамилия совсем другая. Буквально 40 минут неспешных поисков и у меня доступ к чужой странице ВК.
Что можно было сделать дальше - можно только представить. В сообщениях и вложениях к ним, в документах можно найти много интересного, что поможет получить доступ и к другим сервисам, банкам. С помощью социальной инженерии можно добыть множество личной информации, а так же написать всем друзьям скинуть денег на карту.
Но я не стал даже восстанавливать страницу ВК и менять пароль. Первым делом я сразу написал в чат поддержки банка Тинькофф об этом. В чате отметили моё неравнодушие и пообещали, что обязательно свяжутся с клиентом банка и сообщат ей об этом.
Однако верить банку я не стал и параллельно написал бывшему владельцу номера в телеграме. Расписал всю ситуацию, дал пару советов для безопасности, на что она сильно поблагодарила меня. Так же написал ей, что я сообщил об этом банку и попросил дать знать, когда банк с ней свяжется.
Сегодня заметил сброшенный автоматом звонок от банка Тинькофф. После перезвона я удивился, что они даже не могли пояснить причину звонка и пытались сослаться на оставленный номер телефона для заявки на кредит. Когда я им рассказал ситуацию, они начали невнятно неуверенно оправдываться, что разбираются с ситуацией. Меня это начало бесить, я напрямую спросил какие действия они совершают, чтоб предупредить своего клиента, на что они опять же не смогли дать никакого ответа. Об этом я сразу сообщил девушке, на что она дала прекрасный ответ - она обращалась в банк для смены номера самостоятельно и они даже не сообщили ей о том, что произошла такая ситуация. Зная по опыту как плохо работает поддержка в чате приложения, я написал сразу вопрос в твиттере, на что они выдали прекрасный ответ - пытались с ней связаться по всем телефонам, но безуспешно (конечно безуспешно, сим-карта у меня же). Но вообще никак не обратили внимания на то, что клиент сама с ними связывалась.
В последний раз написал в чат банка с скриншотом сообщения от девушки, где она пишет, что связывалась с банком. В ответ я получил "исходя из переписки, нет причин для беспокойства".....
Какой можно подвести итог.
1. Обязательно следите за своими личными данными, соблюдайте киберграмотность и цифровую гигиену. На сим-карту стоит поставить пин-код (не 0000) на случай потери телефона, на соцсети F2A защиту не по смс-коду, а так же не забывать отвязывать номера телефонов, которые более не будут использоваться. Девушка в итоге благополучно сменила номера телефонов везде где можно, скрыла важные данные в соцсетях.
2. Очень непонятно отношение банка Тинькофф в такой ситуации. Вместе с этой девушкой мы требуем от банка официального расследования ситуации и четкого грамотного ответа на множество вопросов: почему не отправили клиенту сообщение в чат поддержки, каким именно способом они пытались связаться к клиентом и сколько раз, почему после данной ситуации не была моментально заморожена банковская карта до выяснения обстоятельств (а ведь без этого могло бы быть всё куда хуже), почему банк не видит причин для беспокойства.
В случае, если кто-то получит доступ к этим деньгам, клиент останется ни с чем, а быть может ещё и с парой кредитов. Подобных кейсов полно в интернете. Банк получил информацию, которая очень важна для безопасности клиента. Банк мог отправить сообщение в чат поддержки с PUSH-уведомлением, на что клиент сразу обратила бы внимание, или заблокировать карту. Предпринять хоть какие-то серьезные действия, помимо звонков на мой номер телефона. А вместо этого ему требуется несколько дней дополнительного времени. На данный момент мы оба опасаемся иметь деньги на счету банка и ждём официального ответа с разъяснением ситуации от представителей.
Приветствуем.
Мы уделяем повышенное внимание вопросам безопасности, поэтому просто так заполучить доступ к личному кабинету и мобильному приложению клиента у 3-го лица не получится. Если только сам клиент как-то этому не посодействует или какие-то иные обстоятельства не повлияют на это. Так получилось, что вам достался временный номер от оператора связи, который до этого принадлежал нашему клиенту, поэтому вы получили оповещение от нас на этот номер. При этом деньгам клиента ничего не угрожало, ведь для входа в приложение и выполнения любых операций нужна перепривязка IMSI – уникального кода, закрепленного за каждой СИМ-картой, а для этого требуется пройти усиленную идентификацию в звонке. Если не пройти ее, то коды подтверждения просто не будут приходить на этот номер, только стандартные оповещения, ведь ваш новый номер оператор повторно регистрирует в сети, что инициирует изменение IMSI.
Когда вы обратились к нам, всю необходимую информацию мы приняли и начали работать над решением вопроса, но в процессе допустили ряд ошибок, в том числе совершили лишние звонки на этот номер, не смогли пояснить причины звонка при перезвоне и неоднократно не вникли в суть проблемы, что однозначно повлияло на сроки решения. В одном диалоге, который вы затрагиваете в тексте статьи, сотрудник необоснованно рекомендовал не беспокоиться, мол вопрос мы уже решили. Извините, пожалуйста.
Вопрос мы определенно могли решить намного быстрее, но эта ситуация станет для нас своего рода фидбэком, чтобы мы поработали над ошибками и стали лучше. Мы связались с клиентом, чтобы все исправить, и с вами, чтобы окончательно решить вопрос.
Конфликт с банком заканчивается, со мной созвонились, поблагодарили, но на тот момент я еще не знал, что девушке позвонили тоже. За предложение спасибо, это хороший бонус, который никогда не будет лишним.
Возможно, с моей стороны было местами грубовато, извините. Вы знаете наши взаимоотношения в поддержкой банка и Мобайла накалены, что некоторые места в поддержке очень сильно недоработаны и хромают, начиная от компетентности сотрудников в познании значков в статус-баре и доказывании мне что у меня нет сети, когда нет интернета, заканчивая банальной невнимательностью и несообразительностью. Некоторые из этих проблем критичные и напрягающие (выводящие из себя), некоторые позволяют закрыть глаза и общаться дальше. Надеюсь, вы действительно этот фидбэк возьмёте в работу над ошибками. То что вы смогли признать ошибки - уже очень радует и вселяет надежду.
И в завершение истории. Не все люди технически подкованы и соблюдают безопасность в сети. Нас этому не учат в школе, а знания оценивают на уроках информатики по самой красивой презентации в PowerPoint. Оказалось, что у девушки так же на этот номер был привязан аккаунт на ГосУслугах. Ситуация могла бы быть очень плачевной в случае, если бы из нас никто с ней не связался. Но это уже другая история.