После использования банкомата «Тинькофф» деньги были украдены со счёта

В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.

Итог работы над упрощением клиентского сценария для банкомата Тинькофф – я потерял деньги, в МВД открылось ещё одно дело, кому-то, возможно по ошибке, грозит штраф или срок.

Обнаружение утраты

В последнее время не часто можно встретить наличные деньги и когда они появляются, в скором времени они отправляется на счёт. Именно это я и хотел сделать, когда оказался в торговом центре МЕГА Химки, где есть несколько банкоматов Тинькофф.

Так как у нас с женой один счёт, она вызвалась мне в этом помочь, взяла деньги и ушла к банкомату, допустим с 10 000 рублей, я же занялся своими делами.

Несколько минут спустя мне пришло push-уведомление о зачислении средств и звонок жены что задача выполнена, несколько купюр не принято, так как банкомат не принимает купюры номиналом 2 000 рублей, она ушла по магазинам. Допустим, время было 17:00.

Жену я нашёл в примерочной. Было жарко, для погоды, она была тепло одета. Найдя подходящее платье, попросила меня оплатить его и принести ей, чтобы сразу переодеться.

На кассе, при оплате, мне выдало сообщение что недостаточно средств. Я насторожился, оплатил с другой карты и возвращаясь в примерочные, зашёл в интернет банк проверить счёт. Время было 17:25.

Увидел, средства были сняты через банкомат почти до нуля, сразу после пополнения счёта. Первая мысль, меня разыгрывает жена, отдавая ей платье я спросил “что за шутки” и показал экран телефона с открытой историей транзакций. По глазам понял, что это не её проказы.

Спасло одно, по моему опыту работы в банках, никогда не храню на картах много денег. Было потеряно допустим 20 000 рублей.

Звонок в банк и визит в полицию

Мы сразу связались с банком, сообщили о краже. Нас расспросили про детали произошедшего и направили в полицию для того чтобы мы оставили заявление.

До ближайшего отдела, мы добрались в 18:00, включая время на разговор с банком.

Скажу сразу, это был первый визит в нашей жизни в отделение полиции, мы не знали, что делать, жена была на нервах. Спасибо первому отделу полиции, Управления МВД России по г.о. Химки, что приняли нас, вошли в положение, помогли всё оформить, успокоить жену. И конечно же за то, что оперативно принялись за работу. В 18:30 мы получили «талон-уведомление» и покинули здание полиции.

Личное расследование

Так сложилось, что моя работа придумывать сервисы для людей и упрощения их жизни. Последний мой проект — это платформа Единой биометрической системы, с помощью которой открывается много возможностей, но и появляется много опасностей для человека. Разрабатывая каждый сервис, мы с командой думали не только о том, как сделать клиентский путь удобней, но и как защитить человека от мошеннических действий.

Покинув отделение полиции, мы пошли к банкомату Тинькофф, мне захотелось изучить интерфейсы и понять, как это произошло. Рассматривал я сценарий пополнения, чтобы понять где могла быть дырка.

Но когда я это сделал, волосы на моей макушке встали дыбом.

Позитивный сценарий

Первое что я проверил, это успешный сценарий внесения средств.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Туда для проверки залетело две купюры, 1 000 и 2 000 рублей.
  • Банкомат принял купюры, подумал, сообщил что успешно забрал 1 000, купюру 2 000 вернул.
  • Операция завершилась, я попробовал выполнить другие операции, банкомат снова запросил авторизацию.

Всё верно, одна операция на которую дана авторизация, что-то тут не так. Попросил жену повторить ещё раз что она делала.

Негативный сценарий

В рассказе жены, я обратил внимание на то что она пыталась ещё раз внести бумажки номиналом 2 000, но увидела, что их банкомат не принимает и отменила операцию. Я вернулся к банкомату получился следующий сценарий.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Нажимаю кнопку “Назад”, попадаю в меню выбора валют.
  • Нажимаю кнопку “Назад” ещё раз, попадаю в меню с двумя вариантами “Пополнить эту карту” и “Всё остальное”.
  • Нажимаю ещё раз кнопку “Назад”, попадаю на главный экран с выбором других операций, таких как “Снять”, “Перевести”, “Оплатить”.
  • Пробую нажать “Снять”.
  • Открывается меню снятия средств и без дополнительной авторизации снимаю ранее внесённую 1 000.

Ещё раз проделываю весь этот маршрут, понимаю, что между главным экраном до аутентификации и главным экраном после аутентификации есть небольшая разница.

Если не обращать внимание на детали, можно оставить свою сессию, с авторизацией любых действия со счётом, подумав, что она сбросилась, когда вы вышли на главный экран. Но для полного выхода, требуется ещё нажать на серую надпись “Уйти” на сером фоне.

Ещё раз поговорил с женой, догадка подтвердилась, именно кнопка “Уйти” и не была нажата. Сессия осталась висеть, следующий за женой человек имел доступ полностью ко всем средствам.

Но, есть маленьких шанс, что он даже не понял, что открыт не его счёт, как я говорил, главный экран после аутентификации почти не отличает от главного экрана до аутентификации. И снимая все средства, думал «вот мне фортануло и кто-то кинул случайно денег». Но теперь, ему грозит уголовная ответственность.

Кто виноват и что делать

Анализируя историю, пришёл к некоторым выводам:

  • СМС банк в таких случаях не поможет, если средства снимались намеренно, максимум что можно сделать попросить злоумышленника их вернуть, а он может отказаться и уйти. Полиция подтвердила, что в таком случае только через заявление можно разрешить конфликт.
  • Команда Тинькофф банка допустила, по моему мнению, ошибку. Позволила при отмене одной операции не запрашивать авторизацию, при повторном выполнении аналогичной операции или операции другого типа. Как лицо принимающее решения в аналогичной сфере, по своему субъективному мнению, считаю что это дырень в безопасности размером с луну. За такой косяк, свою команду я бы не поблагодарил.
  • Что надо проверять, не оставил ли предыдущий клиент сеанс, чтобы не столкнуться с проблемами в будущем. Как думаю все знают, в каждом банкомате есть камера, а в торговых центрах зоны с банкоматами, галереями, входами и выходами, парковками тоже под наблюдением. И при обращении органов, нужно быть ниндзя, чтобы вас не нашли.
  • При использовании банкоматов, безопаснее всего использовать карту (при этом не pay pass) или биометрию. Так как при правильно спроектированном клиентском пути эти факторы подтверждают фактическое присутствие лица, которому принадлежит счёт в момент совершения операции. А ещё лучше использовать оба этих фактора.

Напоследок

В этой истории не могу со 100% уверенностью сказать, что кто-то действовал намеренно, имеет недостаточные компетенции или глуп. Как потерпевший, являюсь заинтересованной стороной, поэтому могу писать предвзято.

Но совокупности всех несовершенств процессов и участников, привела: к потере средств клиента банка Тинькофф, а в следствии, потерей лояльности к банку, возбуждении дела в МВД. Если человек совершил действия не намеренно, а запутавшись в интерфейсе, то он может даже не поймёт за что его привлекают.

Надеюсь, моя история закончится happy end’ом, мне вернутся средства, команда Тинькофф доработает клиентский путь, чтобы сделать его безопасным. А пока, будьте бдительны и не совершайте моих ошибок.

Так же, ещё про сферу IT и всё что около неё можете почитать на моём канале в Телеграм An Log.

P.S. Тинькофф банк, если хотите чтобы я рассказал вам больше, свяжитесь со мной)

0
262 комментария
Написать комментарий...
Pavel Zakharov

Всегда опасался таких ситуаций при пользовании банкоматом без физической карты (с nfc и тд), поэтому даже после завершения сессии, на всякий случай долблю несколько раз кнопки "Сброс / Отмена" на клавиатуре. Лучше перебдеть.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

У банкоматов тинькофф нет клавиатуры, у новых, по крайней мере. 

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

А как пин вводить?

Ответить
Развернуть ветку
Уоррен Баффет

Тач-экран, на нем клавиатура нарисована.

Ответить
Развернуть ветку
Alexandr Sergeevich

Если это так, то, имхо, это небезопасно: экран хорошо просматривается позади стоящими очередниками.

Ответить
Развернуть ветку
259 комментариев
Раскрывать всегда