Передаю привет Михаилу с его схожей историей и хочу поделиться своей.
30 мая в 23:22 я получаю от «Тинькофф» смс с кодом для подтверждения моего мобильного телефона, предполагаю что это ошибка и ничего не предпринимаю. Затем через минуту мне приходит смс с информацией о том, что моя заявка принята к рассмотрению. Звоню на горячую линию банка «Тинькофф», чтобы прояснить ситуацию.
Они здороваются со мной по имени, хотя ранее я к ним не обращалась и клиентом их банка не являюсь. Я озвучиваю информацию о том какие сообщения мне пришли и сотрудник банка сообщает мне, что я оставила онлайн заявку на получение кредитной карты, я говорю что ничего подобного не делала и не понимаю как это могло произойти. На что сотрудник банка отвечает, что наверное я потеряла паспорт и мне нужно обратиться в полицию. Паспорт я не теряла и он всегда находился при мне. По моей просьбе заявку на кредитную карту отменили.
Звоню своему оператору «Теле2» узнать как без передачи кода из смс, злоумышленники могли подтвердить мой номер телефона, но сотрудники отвечают что это невозможно.
Через 20 минут получаю новое сообщение от «Тинькофф» о том, что я должна подтвердить свой запрос по кредитной заявке. Снова звоню на горячую линию банка и мне говорят, что я подала еще одну заявку. Прошу ее отменить и не принимать от меня онлайн заявки на оформление кредитной карты, но мне сказали, что это невозможно и предложили оформить претензию. Заявку на кредитную карту отменили, сказали обратиться в полицию.
Иду в полицию, рассказываю о сложившейся ситуации, на что мне отвечают что без паспорта и моего телефона кредитную карту оформить невозможно, что все это совпадение и без меня никто этой картой не воспользуется. Из отделения вместе с дежурным звоню на горячую линию банка, чтобы они подтвердили информацию о том, что были использованы мои паспортные данные, что была назначена встреча с курьером для получения карты, но мне сообщают что "так как встреча была отменена, никакую информацию сообщить не могут".
В отделении полиции у меня приняли "объяснение" и так как "материальный ущерб мне не причинен, претензий я ни к кому не имею" в полицию обратилась с целью "уведомить о данном факте". И у меня остались вопросы к банку:
1. Как без меня кто-то создает мой личный кабинет?
2. Как злоумышленники получили доступ к коду из смс сообщения? 3. И как мне избежать таких ситуаций в будущем?
Очень много гневных комментариев в адрес банка о их бездействии против мошенников в подобных ситуациях. Но давайте разберемся. Заявка на кредит через сайт - это заполнение данных в форму на всем доступном ресурсе. Это может делать кто угодно, кто знает эти персональные данные (сам потенциальный клиент или мошенник). В чем вина банка, если мошенник заполнил эту заявку? Корень проблемы в другом - как и куда утекли персональные данные и откуда доступ к СМС? Да, существует уязвимость в SS7, но значит устройство заражено, мошенники имеют к нему доступ. Паспорт в кармане? Это сейчас, но когда-то ранее данные были слиты/украдены/потеряны и т.п. Я считаю, что Банк безусловно должен содействовать в таких ситуациях и принимать активное участие в расследовании, т.к. на кону и его репутация тоже. Но каждый такой пост в очередной раз напоминает о цифровой гигиене и необходимости соблюдать хотя бы элементарные правила информационной безопасности в быту.
P.S. в комментах видел, якобы карта Тинькофф работает сразу после выдачи ее курьеру на доставку. Кто получал карту, подскажите так ли это? Похоже на бред, ведь по закону любой кредитный договор ничтожен без личной подписи клиента.
Комментарий недоступен
1. Паспортные данные - никак не публичная информация. Если их можно "нагуглить", то значит они были украдены/слиты и т.д., без вариантов.
2. В целом согласен, постами с жалобами значительно подорвать репутацию монстра сложно. Тем не менее утратить авторитет куда проще, чем заработать, так что наплевательски относиться к вопросам репутации не умно даже для акул рынка.
3. Для перевыпуска карты по липовым документам нужны копии оригинальных или их реквизиты. Если они есть у мошенников - см. пункт 1.
Комментарий недоступен
Использование паспортных данных на почте, в банке, в поликлинике - это не слив. А вот если они оттуда утекли, то их кто-то оттуда слил. Возможно даже, как вы сказали за символическую плату. Sad but true. Мир суров и в этом случае мы действительно бессильны. Всегда будут воровать и продавать. Но это не единственный и не самый распространенный способ получения персональных данных. Чаще это социальная инженерия, фишинг, спуфинг - а вот здесь вся надежда только на самого пользователя. Да и в быту бывают ситуации - с меня однажды требовали паспортные данные при возврате товара в магазине. Абсурд... Купить можно без паспорт, а вернуть нет? Зачем паспорт? Это незаконно. Отказал. Товар вернул. А в противном случае валялись бы мои перс. данные на бумажной анкетке с номером телефона на прилавке...
Комментарий недоступен
Эти данные никогда не являются фактором аутентификации, а в качестве авторизации можно использовать, почему нет? Но в случае с банками они ни тем, ни другим не являются. Просто заполняется анкета потенциального клиента. В любом случае, это - персональные данные, использование которых регламентируется законом 152-ФЗ напрямую и косвенно еще некоторыми. Поэтому "посторонние люди" иметь к ним доступа легально не могут, а предоставляя их, вы сами даете согласие на их обработку (кроме Почты России конечно, у них там своя атмосфера). Статистика есть - раз в пол года Group-IB выпускает подробнейший отчет о киберугрозах в мире. К сожалению в открытом доступе он не публикуется (я получаю на почту, как сотрудник в области информационной безопасности). Но у них и на сайте полно разборов атак и другой полезной информации.
Комментарий недоступен
У меня вполне здоровое отношение к персональным данным. Для меня как сотрудника ИБ и как для пользователя сервисов важно где и каким образом получены данные, т.к. если утекли - это преступление. И понимая серьезность последствий, я предоставляю их в минимально необходимом количестве для получения услуг. И всем советую. Закон не совершенен, как и любой. Но до его вступления в силу было хуже. Для исключения значимых последствий - кредитный договор по закону ничтожен без вашей личной подписи. Откуда паника, понять не могу.
Комментарий недоступен
А мой посыл как раз в том, что придавать этому значение стоит. Из статьи ясно, что мошенники воспользовались утекшими данными, это факт. Так вот чтобы потом не ходить 7 кругов, нужно максимально аккуратно относиться безопасности своих данных, к чему я и призываю. Кражи баз данных, мошенники среди сотрудников банков - все это существует, никто не спорит, и это большая проблема. Но чаще все-таки юзеры открывают доступ к своим данным сами. А потом разводят руками и говорят, что "не думали, что это мошенники" или "я не скачивал это приложение" и т.д. В данной статье я не осуждаю ни автора, ни банк, т.к. подробностей нет. Хорошо, что до кражи дело не дошло.
Комментарий недоступен
Как сотрудник ИБ банка (не Тинькофф, а то щас полетит) могу с полной ответственностью заявить, что банки имеют далеко не посредственное отношение к безопасности данные клиентов. Истории с кражами безусловно выглядят ярче, поэтому впечатление конечно может сложиться противоположное. Ну и техподдержки некоторых крупных банков тоже часто портят картину, что и говорить. А вот про подпись не понял. По-моему это же хорошо, что кредит без вашего личного участия взять всё-таки нельзя? Как раз поэтому автор и остался не обворован, скорее всего.
Комментарий недоступен
Как раз читал вашу статью) В целом почти по всем пунктам не согласен с ней, но здесь обсуждать не стану, это другая статья. Доступ к персональным данным не имеет критического значения - имея только перс. данные украсть деньги нельзя. Липовые заявки и спам - неприятности, но не критичные , по сравнению с кражей средств. Исключить полностью использование персональных данных при удаленном общении с банками - это означает отказ от современных сервисов ДБО и целой кучи удобных функций. Лично я бы так не хотел, как уверен, и большинство.
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен