Передаю привет Михаилу с его схожей историей и хочу поделиться своей.
30 мая в 23:22 я получаю от «Тинькофф» смс с кодом для подтверждения моего мобильного телефона, предполагаю что это ошибка и ничего не предпринимаю. Затем через минуту мне приходит смс с информацией о том, что моя заявка принята к рассмотрению. Звоню на горячую линию банка «Тинькофф», чтобы прояснить ситуацию.
Они здороваются со мной по имени, хотя ранее я к ним не обращалась и клиентом их банка не являюсь. Я озвучиваю информацию о том какие сообщения мне пришли и сотрудник банка сообщает мне, что я оставила онлайн заявку на получение кредитной карты, я говорю что ничего подобного не делала и не понимаю как это могло произойти. На что сотрудник банка отвечает, что наверное я потеряла паспорт и мне нужно обратиться в полицию. Паспорт я не теряла и он всегда находился при мне. По моей просьбе заявку на кредитную карту отменили.
Звоню своему оператору «Теле2» узнать как без передачи кода из смс, злоумышленники могли подтвердить мой номер телефона, но сотрудники отвечают что это невозможно.
Через 20 минут получаю новое сообщение от «Тинькофф» о том, что я должна подтвердить свой запрос по кредитной заявке. Снова звоню на горячую линию банка и мне говорят, что я подала еще одну заявку. Прошу ее отменить и не принимать от меня онлайн заявки на оформление кредитной карты, но мне сказали, что это невозможно и предложили оформить претензию. Заявку на кредитную карту отменили, сказали обратиться в полицию.
Иду в полицию, рассказываю о сложившейся ситуации, на что мне отвечают что без паспорта и моего телефона кредитную карту оформить невозможно, что все это совпадение и без меня никто этой картой не воспользуется. Из отделения вместе с дежурным звоню на горячую линию банка, чтобы они подтвердили информацию о том, что были использованы мои паспортные данные, что была назначена встреча с курьером для получения карты, но мне сообщают что "так как встреча была отменена, никакую информацию сообщить не могут".
В отделении полиции у меня приняли "объяснение" и так как "материальный ущерб мне не причинен, претензий я ни к кому не имею" в полицию обратилась с целью "уведомить о данном факте". И у меня остались вопросы к банку:
1. Как без меня кто-то создает мой личный кабинет?
2. Как злоумышленники получили доступ к коду из смс сообщения? 3. И как мне избежать таких ситуаций в будущем?
Очень много гневных комментариев в адрес банка о их бездействии против мошенников в подобных ситуациях. Но давайте разберемся. Заявка на кредит через сайт - это заполнение данных в форму на всем доступном ресурсе. Это может делать кто угодно, кто знает эти персональные данные (сам потенциальный клиент или мошенник). В чем вина банка, если мошенник заполнил эту заявку? Корень проблемы в другом - как и куда утекли персональные данные и откуда доступ к СМС? Да, существует уязвимость в SS7, но значит устройство заражено, мошенники имеют к нему доступ. Паспорт в кармане? Это сейчас, но когда-то ранее данные были слиты/украдены/потеряны и т.п. Я считаю, что Банк безусловно должен содействовать в таких ситуациях и принимать активное участие в расследовании, т.к. на кону и его репутация тоже. Но каждый такой пост в очередной раз напоминает о цифровой гигиене и необходимости соблюдать хотя бы элементарные правила информационной безопасности в быту.
P.S. в комментах видел, якобы карта Тинькофф работает сразу после выдачи ее курьеру на доставку. Кто получал карту, подскажите так ли это? Похоже на бред, ведь по закону любой кредитный договор ничтожен без личной подписи клиента.
Было бы не лишним авторам отмечать, на каких устройствах они сидят. Не в курсе конкретных уязвимостей на смартфонах, поэтому ещё интереснее, что потенциально могло к этому привести.
Согласен, но скорее всего Android. Не фанат Apple, сам всю жизнь на Андроиде, но факт остаётся фактом - на андроиде подхватить малварь в разы проще.
Да, все верно, андроид самсунг