После использования банкомата «Тинькофф» деньги были украдены со счёта

В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.

Итог работы над упрощением клиентского сценария для банкомата Тинькофф – я потерял деньги, в МВД открылось ещё одно дело, кому-то, возможно по ошибке, грозит штраф или срок.

Обнаружение утраты

В последнее время не часто можно встретить наличные деньги и когда они появляются, в скором времени они отправляется на счёт. Именно это я и хотел сделать, когда оказался в торговом центре МЕГА Химки, где есть несколько банкоматов Тинькофф.

Так как у нас с женой один счёт, она вызвалась мне в этом помочь, взяла деньги и ушла к банкомату, допустим с 10 000 рублей, я же занялся своими делами.

Несколько минут спустя мне пришло push-уведомление о зачислении средств и звонок жены что задача выполнена, несколько купюр не принято, так как банкомат не принимает купюры номиналом 2 000 рублей, она ушла по магазинам. Допустим, время было 17:00.

Жену я нашёл в примерочной. Было жарко, для погоды, она была тепло одета. Найдя подходящее платье, попросила меня оплатить его и принести ей, чтобы сразу переодеться.

На кассе, при оплате, мне выдало сообщение что недостаточно средств. Я насторожился, оплатил с другой карты и возвращаясь в примерочные, зашёл в интернет банк проверить счёт. Время было 17:25.

Увидел, средства были сняты через банкомат почти до нуля, сразу после пополнения счёта. Первая мысль, меня разыгрывает жена, отдавая ей платье я спросил “что за шутки” и показал экран телефона с открытой историей транзакций. По глазам понял, что это не её проказы.

Спасло одно, по моему опыту работы в банках, никогда не храню на картах много денег. Было потеряно допустим 20 000 рублей.

Звонок в банк и визит в полицию

Мы сразу связались с банком, сообщили о краже. Нас расспросили про детали произошедшего и направили в полицию для того чтобы мы оставили заявление.

До ближайшего отдела, мы добрались в 18:00, включая время на разговор с банком.

Скажу сразу, это был первый визит в нашей жизни в отделение полиции, мы не знали, что делать, жена была на нервах. Спасибо первому отделу полиции, Управления МВД России по г.о. Химки, что приняли нас, вошли в положение, помогли всё оформить, успокоить жену. И конечно же за то, что оперативно принялись за работу. В 18:30 мы получили «талон-уведомление» и покинули здание полиции.

Личное расследование

Так сложилось, что моя работа придумывать сервисы для людей и упрощения их жизни. Последний мой проект — это платформа Единой биометрической системы, с помощью которой открывается много возможностей, но и появляется много опасностей для человека. Разрабатывая каждый сервис, мы с командой думали не только о том, как сделать клиентский путь удобней, но и как защитить человека от мошеннических действий.

Покинув отделение полиции, мы пошли к банкомату Тинькофф, мне захотелось изучить интерфейсы и понять, как это произошло. Рассматривал я сценарий пополнения, чтобы понять где могла быть дырка.

Но когда я это сделал, волосы на моей макушке встали дыбом.

Позитивный сценарий

Первое что я проверил, это успешный сценарий внесения средств.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Туда для проверки залетело две купюры, 1 000 и 2 000 рублей.
  • Банкомат принял купюры, подумал, сообщил что успешно забрал 1 000, купюру 2 000 вернул.
  • Операция завершилась, я попробовал выполнить другие операции, банкомат снова запросил авторизацию.

Всё верно, одна операция на которую дана авторизация, что-то тут не так. Попросил жену повторить ещё раз что она делала.

Негативный сценарий

В рассказе жены, я обратил внимание на то что она пыталась ещё раз внести бумажки номиналом 2 000, но увидела, что их банкомат не принимает и отменила операцию. Я вернулся к банкомату получился следующий сценарий.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Нажимаю кнопку “Назад”, попадаю в меню выбора валют.
  • Нажимаю кнопку “Назад” ещё раз, попадаю в меню с двумя вариантами “Пополнить эту карту” и “Всё остальное”.
  • Нажимаю ещё раз кнопку “Назад”, попадаю на главный экран с выбором других операций, таких как “Снять”, “Перевести”, “Оплатить”.
  • Пробую нажать “Снять”.
  • Открывается меню снятия средств и без дополнительной авторизации снимаю ранее внесённую 1 000.

Ещё раз проделываю весь этот маршрут, понимаю, что между главным экраном до аутентификации и главным экраном после аутентификации есть небольшая разница.

Если не обращать внимание на детали, можно оставить свою сессию, с авторизацией любых действия со счётом, подумав, что она сбросилась, когда вы вышли на главный экран. Но для полного выхода, требуется ещё нажать на серую надпись “Уйти” на сером фоне.

Ещё раз поговорил с женой, догадка подтвердилась, именно кнопка “Уйти” и не была нажата. Сессия осталась висеть, следующий за женой человек имел доступ полностью ко всем средствам.

Но, есть маленьких шанс, что он даже не понял, что открыт не его счёт, как я говорил, главный экран после аутентификации почти не отличает от главного экрана до аутентификации. И снимая все средства, думал «вот мне фортануло и кто-то кинул случайно денег». Но теперь, ему грозит уголовная ответственность.

Кто виноват и что делать

Анализируя историю, пришёл к некоторым выводам:

  • СМС банк в таких случаях не поможет, если средства снимались намеренно, максимум что можно сделать попросить злоумышленника их вернуть, а он может отказаться и уйти. Полиция подтвердила, что в таком случае только через заявление можно разрешить конфликт.
  • Команда Тинькофф банка допустила, по моему мнению, ошибку. Позволила при отмене одной операции не запрашивать авторизацию, при повторном выполнении аналогичной операции или операции другого типа. Как лицо принимающее решения в аналогичной сфере, по своему субъективному мнению, считаю что это дырень в безопасности размером с луну. За такой косяк, свою команду я бы не поблагодарил.
  • Что надо проверять, не оставил ли предыдущий клиент сеанс, чтобы не столкнуться с проблемами в будущем. Как думаю все знают, в каждом банкомате есть камера, а в торговых центрах зоны с банкоматами, галереями, входами и выходами, парковками тоже под наблюдением. И при обращении органов, нужно быть ниндзя, чтобы вас не нашли.
  • При использовании банкоматов, безопаснее всего использовать карту (при этом не pay pass) или биометрию. Так как при правильно спроектированном клиентском пути эти факторы подтверждают фактическое присутствие лица, которому принадлежит счёт в момент совершения операции. А ещё лучше использовать оба этих фактора.

Напоследок

В этой истории не могу со 100% уверенностью сказать, что кто-то действовал намеренно, имеет недостаточные компетенции или глуп. Как потерпевший, являюсь заинтересованной стороной, поэтому могу писать предвзято.

Но совокупности всех несовершенств процессов и участников, привела: к потере средств клиента банка Тинькофф, а в следствии, потерей лояльности к банку, возбуждении дела в МВД. Если человек совершил действия не намеренно, а запутавшись в интерфейсе, то он может даже не поймёт за что его привлекают.

Надеюсь, моя история закончится happy end’ом, мне вернутся средства, команда Тинькофф доработает клиентский путь, чтобы сделать его безопасным. А пока, будьте бдительны и не совершайте моих ошибок.

Так же, ещё про сферу IT и всё что около неё можете почитать на моём канале в Телеграм An Log.

P.S. Тинькофф банк, если хотите чтобы я рассказал вам больше, свяжитесь со мной)

0
262 комментария
Написать комментарий...
Сидор

1. Всегда ищи преступника  рядом. 
Сценарий - жена решила снять денег (для каких-то целей и/или кому-то , которые/кого вам знать не надо)- не рассматривается? 

2. Фото талона можете выложить? А то неточные  временные отметки в истории и реклама вашего канала в ТГ не внушают доверия к реальности истории)))

Ответить
Развернуть ветку
Михаил Фокеев
Автор

1. Я доверяю жене, плюс если оперативники придут к ней же, её риски выше чем профит.
2. Могу выложить талон, ещё приложить фото из участка, но как это подтвердит достоверность истории? Талон выдадут даже если я приду в полицию и скажу что котик на дереве застрял) А если не верите в мою историю, можете проверить на любом банкомате тинькофф, что такая возможность есть. 
Основная цель текста предупредить людей, обратить внимание банка.

Ответить
Развернуть ветку
Сидор

У меня нет оснований вам не верить. Как и верить. Тоже касается и вашей супруги 
Пока не доказано обратное, под подозрением все )
Получается что обычный человек решил снять деньги с вашего счёта, намеренно или случайно не обратив внимания что счёт не его? 
Ведь вряд ли у банкомата  стояли специально обученные люди, которые ждали такого случая, что строчился с вашей супругой 

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Согласен, про это и пишу, что даже не факт что это было злонамеренно, но теперь расстроен я, жена, оперативник который не уйдёт в отпуск, человек который возможно виновен, как и мы, только в своей невнимательности.

Ответить
Развернуть ветку
Данил Макаров

Оперативник не уйдет в отпуск, потому что он будет должен работать по вашему заявлению?! Ни фига у вас самомнение)))

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Это шутка,  просто сам сотрудник нам сказал что его рабочий день закончился,  но нас о примет, а потом сидел и рассказывал что должен был быть уже в отпуске. Милейший человек, рассказывал про схемы мошенничества. После того как он нас оформил, пошёл смотреть камеры в торговый центр (там 150 метров от участка). Но по факту ушёл в отпуск чуть позже.

Ответить
Развернуть ветку
Борис Агафонцев

Скорее всего в крупных тц трутся специально обученные люди у банкоматов и проверяют не произошёл ли подобный косяк. Во всех подобных историях про банкоматы Тинькова и их идиотский интерфейс деньги уходили со счёта забывашки разлогиниться почти в момент. А очередей к банкоматам Тинькова я лично не видел. 

Ответить
Развернуть ветку
Сидор

Тогда деньги могут и не найти, специально обученные люди могу знать как скрыться с кешем "забывашек". 

Ответить
Развернуть ветку
Борис Агафонцев

Конечно не найдут. Хмарь в капюшоне подошёл, забрал деньги и ушёл. Какие камеры? Ну могли до туалета его отследить, где а) сообщник б) тупо можно переодеться. А фиксировать кто зашёл кто вышел из туалете в тц и автоматчически опознавать и думать «не самозародился ли вот этот» - нереально. Ну или вышел сразу из тц чел в капюшоне, сел в бесплатный автобус от тц и уехал. Мб ещё как-то выявлять кто трется постоянно можно, не придумал пока как :)

Ответить
Развернуть ветку
Leha Shum

У банкомата Камера 
Пусть банк предоставит информацию кто снял деньги 

Ответить
Развернуть ветку
259 комментариев
Раскрывать всегда