{"id":14262,"url":"\/distributions\/14262\/click?bit=1&hash=8ff33b918bfe3f5206b0198c93dd25bdafcdc76b2eaa61d9664863bd76247e56","title":"\u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u0435 \u041c\u043e\u0441\u043a\u0432\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u044e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 \u0434\u043e 1,5 \u043c\u043b\u043d \u0440\u0443\u0431\u043b\u0435\u0439","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"726c984a-5b07-5c75-81f7-6664571134e6"}

После использования банкомата «Тинькофф» деньги были украдены со счёта

В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.

Итог работы над упрощением клиентского сценария для банкомата Тинькофф – я потерял деньги, в МВД открылось ещё одно дело, кому-то, возможно по ошибке, грозит штраф или срок.

Обнаружение утраты

В последнее время не часто можно встретить наличные деньги и когда они появляются, в скором времени они отправляется на счёт. Именно это я и хотел сделать, когда оказался в торговом центре МЕГА Химки, где есть несколько банкоматов Тинькофф.

Так как у нас с женой один счёт, она вызвалась мне в этом помочь, взяла деньги и ушла к банкомату, допустим с 10 000 рублей, я же занялся своими делами.

Несколько минут спустя мне пришло push-уведомление о зачислении средств и звонок жены что задача выполнена, несколько купюр не принято, так как банкомат не принимает купюры номиналом 2 000 рублей, она ушла по магазинам. Допустим, время было 17:00.

Жену я нашёл в примерочной. Было жарко, для погоды, она была тепло одета. Найдя подходящее платье, попросила меня оплатить его и принести ей, чтобы сразу переодеться.

На кассе, при оплате, мне выдало сообщение что недостаточно средств. Я насторожился, оплатил с другой карты и возвращаясь в примерочные, зашёл в интернет банк проверить счёт. Время было 17:25.

Увидел, средства были сняты через банкомат почти до нуля, сразу после пополнения счёта. Первая мысль, меня разыгрывает жена, отдавая ей платье я спросил “что за шутки” и показал экран телефона с открытой историей транзакций. По глазам понял, что это не её проказы.

Спасло одно, по моему опыту работы в банках, никогда не храню на картах много денег. Было потеряно допустим 20 000 рублей.

Звонок в банк и визит в полицию

Мы сразу связались с банком, сообщили о краже. Нас расспросили про детали произошедшего и направили в полицию для того чтобы мы оставили заявление.

До ближайшего отдела, мы добрались в 18:00, включая время на разговор с банком.

Скажу сразу, это был первый визит в нашей жизни в отделение полиции, мы не знали, что делать, жена была на нервах. Спасибо первому отделу полиции, Управления МВД России по г.о. Химки, что приняли нас, вошли в положение, помогли всё оформить, успокоить жену. И конечно же за то, что оперативно принялись за работу. В 18:30 мы получили «талон-уведомление» и покинули здание полиции.

Личное расследование

Так сложилось, что моя работа придумывать сервисы для людей и упрощения их жизни. Последний мой проект — это платформа Единой биометрической системы, с помощью которой открывается много возможностей, но и появляется много опасностей для человека. Разрабатывая каждый сервис, мы с командой думали не только о том, как сделать клиентский путь удобней, но и как защитить человека от мошеннических действий.

Покинув отделение полиции, мы пошли к банкомату Тинькофф, мне захотелось изучить интерфейсы и понять, как это произошло. Рассматривал я сценарий пополнения, чтобы понять где могла быть дырка.

Но когда я это сделал, волосы на моей макушке встали дыбом.

Позитивный сценарий

Первое что я проверил, это успешный сценарий внесения средств.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Туда для проверки залетело две купюры, 1 000 и 2 000 рублей.
  • Банкомат принял купюры, подумал, сообщил что успешно забрал 1 000, купюру 2 000 вернул.
  • Операция завершилась, я попробовал выполнить другие операции, банкомат снова запросил авторизацию.

Всё верно, одна операция на которую дана авторизация, что-то тут не так. Попросил жену повторить ещё раз что она делала.

Негативный сценарий

В рассказе жены, я обратил внимание на то что она пыталась ещё раз внести бумажки номиналом 2 000, но увидела, что их банкомат не принимает и отменила операцию. Я вернулся к банкомату получился следующий сценарий.

  • Выбрал на главном экране “Пополнить”.
  • Появился запрос на аутентификацию и авторизацию действия.
  • Приложил телефон к банкомату, потом ввёл ПИН.
  • Данные были приняты, открылся карман банкомата для приёма денег.
  • Нажимаю кнопку “Назад”, попадаю в меню выбора валют.
  • Нажимаю кнопку “Назад” ещё раз, попадаю в меню с двумя вариантами “Пополнить эту карту” и “Всё остальное”.
  • Нажимаю ещё раз кнопку “Назад”, попадаю на главный экран с выбором других операций, таких как “Снять”, “Перевести”, “Оплатить”.
  • Пробую нажать “Снять”.
  • Открывается меню снятия средств и без дополнительной авторизации снимаю ранее внесённую 1 000.

Ещё раз проделываю весь этот маршрут, понимаю, что между главным экраном до аутентификации и главным экраном после аутентификации есть небольшая разница.

Если не обращать внимание на детали, можно оставить свою сессию, с авторизацией любых действия со счётом, подумав, что она сбросилась, когда вы вышли на главный экран. Но для полного выхода, требуется ещё нажать на серую надпись “Уйти” на сером фоне.

Ещё раз поговорил с женой, догадка подтвердилась, именно кнопка “Уйти” и не была нажата. Сессия осталась висеть, следующий за женой человек имел доступ полностью ко всем средствам.

Но, есть маленьких шанс, что он даже не понял, что открыт не его счёт, как я говорил, главный экран после аутентификации почти не отличает от главного экрана до аутентификации. И снимая все средства, думал «вот мне фортануло и кто-то кинул случайно денег». Но теперь, ему грозит уголовная ответственность.

Кто виноват и что делать

Анализируя историю, пришёл к некоторым выводам:

  • СМС банк в таких случаях не поможет, если средства снимались намеренно, максимум что можно сделать попросить злоумышленника их вернуть, а он может отказаться и уйти. Полиция подтвердила, что в таком случае только через заявление можно разрешить конфликт.
  • Команда Тинькофф банка допустила, по моему мнению, ошибку. Позволила при отмене одной операции не запрашивать авторизацию, при повторном выполнении аналогичной операции или операции другого типа. Как лицо принимающее решения в аналогичной сфере, по своему субъективному мнению, считаю что это дырень в безопасности размером с луну. За такой косяк, свою команду я бы не поблагодарил.
  • Что надо проверять, не оставил ли предыдущий клиент сеанс, чтобы не столкнуться с проблемами в будущем. Как думаю все знают, в каждом банкомате есть камера, а в торговых центрах зоны с банкоматами, галереями, входами и выходами, парковками тоже под наблюдением. И при обращении органов, нужно быть ниндзя, чтобы вас не нашли.
  • При использовании банкоматов, безопаснее всего использовать карту (при этом не pay pass) или биометрию. Так как при правильно спроектированном клиентском пути эти факторы подтверждают фактическое присутствие лица, которому принадлежит счёт в момент совершения операции. А ещё лучше использовать оба этих фактора.

Напоследок

В этой истории не могу со 100% уверенностью сказать, что кто-то действовал намеренно, имеет недостаточные компетенции или глуп. Как потерпевший, являюсь заинтересованной стороной, поэтому могу писать предвзято.

Но совокупности всех несовершенств процессов и участников, привела: к потере средств клиента банка Тинькофф, а в следствии, потерей лояльности к банку, возбуждении дела в МВД. Если человек совершил действия не намеренно, а запутавшись в интерфейсе, то он может даже не поймёт за что его привлекают.

Надеюсь, моя история закончится happy end’ом, мне вернутся средства, команда Тинькофф доработает клиентский путь, чтобы сделать его безопасным. А пока, будьте бдительны и не совершайте моих ошибок.

Так же, ещё про сферу IT и всё что около неё можете почитать на моём канале в Телеграм An Log.

P.S. Тинькофф банк, если хотите чтобы я рассказал вам больше, свяжитесь со мной)

0
262 комментария
Написать комментарий...
Тинькофф

Здравствуйте.

Нам действительно жаль, что так произошло. Супруга авторизовалась бесконтактным способом и, после того как операция не прошла, действительно не завершила работу с банкоматом. Мы прекращаем сессию автоматически, если ничего не делать 45 секунд.

Мы продолжаем разбираться в ситуации и обязательно вернемся с результатами. Также передали обратную связь ответственным, чтобы рассмотрели варианты уведомлений о том, что нужно выйти или завершить сессию.

Ответить
Развернуть ветку
Denis Denis

достаточно сделать так, чтобы любая операция подтверждалась в приложении)

Ответить
Развернуть ветку
8 комментариев
Никита Бабин

Очередные отписки сммщика…

Вы попробуйте кнопку «выйти» сделать большой, заметной и анимированной.

Либо модальное окно после неуспешной операции, как в стареньких банкоматах: «хотите продолжить операции?»

Сделали убогую блевоту серого цвета на сером фоне в самом углу, малюсенького масштаба.

Я на фото автора статьи секунд 20 эту малюсенькую кнопочку искал, при этом специально.

Вашим дизайнерам не курсы по дизайну надо вести, а самим блин учиться и голову включать, понимая, что за свои косяки — надо отвечать, люди деньги теряют.

Ответить
Развернуть ветку
Vlad Klekovkin

Почему 45? правильней было 42.
А на самом деле, так как есть камера - то просто по изменению (отсутствии) лица в кадре, без всяких ожиданий. 

Ответить
Развернуть ветку
1 комментарий
Тинькофф

Деньги снял другой человек, мы связались с ним и попросили вернуть их. Сейчас мы уже зачислили деньги на ваш счет.
Пожалуйста, не забывайте нажимать кнопку «Уйти» на экране банкомата в конце сессии.
Дополнительно подумаем, как улучшить интерфейс, чтобы избегать таких случаев.

Ответить
Развернуть ветку
3 комментария
Koxae Sun

Сделайте, хотя бы, цветовую дифференциацию для авторизованного и нет состояний приложения. Такие приложения должны быть максимально интуитивными.

Ответить
Развернуть ветку
KSA

Купить настоящие банкоматы вместо самоделок не хотите?

Ответить
Развернуть ветку
2 комментария
Артём Иванов

Кстати, я наивно полагал, что при авторизации после клика "внесение", можно только вносить средства и ничего не боялся. Оказывается это не так, это огромная дыра и ваш фейл, даже не представляю какие идиоты это сделали, вы просто обязаны их уволить и довести интерфейс до ума, пригласив безопасников.

Ответить
Развернуть ветку
Sergey Badaev

Сегодня с женой в XL на Дмитровке попали в такую же ситуацию, только с другой стороны - мы подошли после того как перед нами чувак довольно долго пополнял карту (не потому что много, а потому, что тупил) и тапнули "Пополнить" сразу.
Но вместо запроса на авторизацию высветилось "Пополнить эту карту". Это и насторожило, и я, шаря по экрану глазами, как раз и увидел серую надпись "Уйти". То есть мы были в сеансе чувака перед нами и если бы не внимательность - пополнили бы его карту, а не нашу.
Поддержу автора - эту надпись почти не видно, да и экран внутри сеанса выглядит почти как главный.

Ответить
Развернуть ветку
Начальник ботов

Ага, это частая ситуация у Тинькова - https://www.banki.ru/services/responses/bank/response/10238676/

Такие отзывы на банки.ру всплывают регулярно. Вся их затея с отказом от стандартных банкоматов и разработкой своих собственных - это сплошной фейл.

Ответить
Развернуть ветку
3 комментария
Канищев Максим

Любое действие с деньгами должно быть подкреплено либо пином, либо прикладыванием nfc устройства -> потом сразу идет физическая операция  с деньгами. После этого любая операция опять идет через пин или nfc. Это у нормальных банков. Тут какая-то собственная мега логика.

Ответить
Развернуть ветку
3 комментария
Тофсла, Вифсла и партнёры

Хотя напиши они на экране хотя бы твои инициалы или аватар (который показывается при входе в инет-банк), то уже было бы легче.

Ответить
Развернуть ветку
Dee

Аналогично, на днях подошел к банкомату после женщины которая забыла сделать выход из учетки. Точнее, она даже не знала что надо это сделать.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Попробую объяснить.
Банкомат - это не безопасная зона. Раньше, подтверждением того что операцию выполняет именно владелец карты, необходимо было вставить карту ввести пин. Если операция выполнена или прервана, для совершение новой нужно заново вставить карту и ввести пин.
Полностью аналогичный сценарий поддерживает тинькофф при полном завершении транзакции. Новую ты не совершишь без ввода пин. Но если превать выполнение, на другие операции авторизация не будет запрошена. 
Пример угрозы, ты подходишь к банкомату проверить счёт, прикладываешь телефон вводишь пин, тебя отталкивают, нажимают "назад" и снимают все средства с карты. 

Ответить
Развернуть ветку
7 комментариев
Sergey Klochko

дай вам бог внимательных родственников и крепкий ум в старости. Ну или банкоматы, где о вашей безопасности заботятся чуть больше, чем в описанном сценарии. На мой взгляд - выдавать деньги сразу после их внесения довольно странная операция при любом раскладе. Даже если человек вспомнил что хотел оставить себе 5 000 ил вносимых 50 000, он не переломится если еще раз наберет пинкод. А если он положил 5 000, а потом снял 50 000, то это странно вдвойне. Обычно люди св таких ситуациях просто снимают 45 000. Тут не запросить пинкод уже просто безответственно.
виктимблейминг плотно укоренился в нашей среде. это очень выгодно разного рода мошенникам и насильникам. пожалуйста, не поддерживайте их, и не помогайте им осуждая жертву.

Ответить
Развернуть ветку
9 комментариев
John Smit

Просмотрел минусаторов. Нашел нескольких молчунов, которые почти не комментируют, но видимо только раздают минусы. Причем их редкие коменты посвящены Тинькову.

Похоже на VC.ru идет скоординированная атака на банк "Тинькофф" с помощью заказных статей и ботов, затыкающих рты адекватным людям.

https://vc.ru/u/20184-mikhail-komlev
https://vc.ru/u/89877-arthur-g
https://vc.ru/u/99453-anton-larchenkov
https://vc.ru/u/442966-dogs-are-everythiing
https://vc.ru/u/846205-dmitr 

Ответить
Развернуть ветку
7 комментариев
Владислав Егоров

Банально интерфейс должен явным образом давать понять, что ты авторизован а не на начальном экране, в кейсе автора интерфейсы действительно идентичны что вводит в заблуждение

Ответить
Развернуть ветку
1 комментарий
Skorpyon

Вот это хуев тебе напихали, Игорек! Ты хоть не подавился?

Ответить
Развернуть ветку
Александр Трофимов

Перед сберовскими стоит очередь не потому что у них "все сложно", а потому что юзеров куда больше и этими юзерами чаще юзается наличка. 
Взять даже меня и моих родителей: я последний раз банкомат видел в начале сентября (тинькоффский к слову), родители же каждый раз зарплату в налик переводят в сберовском. 
Ты, видимо не юзал сберовские, раз говоришь, что у них все плохо. Единственное удлиненние сеанса у сбера по nfc - как раз дополнительная просьба подтвердить операцию повторным прикладыванием, что делается за секунду, "ведь карта вот она, в руках".

Ответить
Развернуть ветку
9 комментариев
Александр Шаргородский

Я всегда и на всех банкоматах проверяю выход из системы и потом ухожу!

Видел я таких яяяяк)))самых умных, внимательных и осторожных, по уши в дерьме!

Ответить
Развернуть ветку
2 комментария

Комментарий удален модератором

Развернуть ветку
Leha Shum

Дизайн кнопки уйти жестокий((((
Тинькова просьба срочно поправить интерфейс и бизнес процесс 

Ответить
Развернуть ветку
Михаил Фокеев
Автор

А при наличии кнопки "назад" оформленной как нормальная кнопка с акцентом, кнопка "уйти" полностью исчезает из поля зрения. Серое на сером

Ответить
Развернуть ветку
3 комментария
Frut Dzentready

Согласен. У меня тут была ситуация когда я не той картой авторизовался - пару минут искал как закрыть сессию. Те я специально искал и не сразу увидел, а уж "на своих мыслях" не увидеть вообще элементарно.
И я, как имеющий отношение к разработке софта, считаю что это косяк конкретного сценария использования.

Ответить
Развернуть ветку
Dmitriy

вы не поверите, но пролистайте до Преподаватели и все поймете, и эти люди учат дизайну
https://skillbox.ru/course/product-designer/

Ответить
Развернуть ветку
color
просьба срочно поправить

https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=356010

13.12.2018 11:01

СРОЧНО, АХАХАХ
Они в курсе о проблеме уже два года, только интерфейсник, которое это решение придумал, наверное даже повышение получил, а не выгнан с позором. Люди ежедневно бабки теряют, у банкоматов спецом типы труться, что бы смотреть "лохов", которые забыли сессию закрыть, а тиньку посрать, у него яхта зато ледокол =P

Ответить
Развернуть ветку
Бинарный Ёж

Да уж. Я обычно авторизуюсь по карте, и пару раз мой мозг "зависал" почему экран выглядит как стартовый, а карта не вылезла. Если бы авторизовывался телефоном  - точно ушёл бы не нажав кнопку "выход".

Ответить
Развернуть ветку
Pavel Zakharov

Всегда опасался таких ситуаций при пользовании банкоматом без физической карты (с nfc и тд), поэтому даже после завершения сессии, на всякий случай долблю несколько раз кнопки "Сброс / Отмена" на клавиатуре. Лучше перебдеть.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

У банкоматов тинькофф нет клавиатуры, у новых, по крайней мере. 

Ответить
Развернуть ветку
18 комментариев
Dmitri Atname

Или кнопку Снять для надежности 😉

Ответить
Развернуть ветку
Я не скажу свое имя машине

Дырка да, солидная.
Буду знать и внимательнее быть

Ответить
Развернуть ветку
Семен Смирнов

Ну как дырка
Завершил сеанс и ушёл

Была бы дырка, были бы массовые случаи

Ответить
Развернуть ветку
1 комментарий
Сидор

1. Всегда ищи преступника  рядом. 
Сценарий - жена решила снять денег (для каких-то целей и/или кому-то , которые/кого вам знать не надо)- не рассматривается? 

2. Фото талона можете выложить? А то неточные  временные отметки в истории и реклама вашего канала в ТГ не внушают доверия к реальности истории)))

Ответить
Развернуть ветку
Михаил Фокеев
Автор

1. Я доверяю жене, плюс если оперативники придут к ней же, её риски выше чем профит.
2. Могу выложить талон, ещё приложить фото из участка, но как это подтвердит достоверность истории? Талон выдадут даже если я приду в полицию и скажу что котик на дереве застрял) А если не верите в мою историю, можете проверить на любом банкомате тинькофф, что такая возможность есть. 
Основная цель текста предупредить людей, обратить внимание банка.

Ответить
Развернуть ветку
12 комментариев
Игорь

1. Сообщение о заведомо ложном доносе о совершении преступления тоже преступление. Об ответственности по 306 статье предупреждаются люди когда сообщают о преступлении.

Ответить
Развернуть ветку
7 комментариев
m0xfff

В Сбере, хоть его и ругают, сделано гораздо безопаснее: нужно приложить карту два раза, первый раз для входа, второй раз для подтверждения операции. 

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

Но это тоже перебор. Нужно подтверждение для второй операции, отличающейся от первой и/или для уменьшения баланса.

Так-то можно вообще на каждый чих требовать пин вводить, но безопасность от этого только пострадает.

ПС. Ну и кнопка "Уйти" - это днище конечно. Даже после замечания автора "на сером фоне" мне понадобилась минута, чтобы на фотке её найти.

Ответить
Развернуть ветку
4 комментария
Денис Денис

меня триггерит работать с банкоматом сбера, который после каждого чиха требует приложить карту/телефон. но после этой статьи я понял, что у сбера в этом плане схема получше продумана. хочешь снять - приложи два раза. хочешь пополнить - тоже приложи два раза

Ответить
Развернуть ветку
Serge Tikhonenko

А также сначала выплевывает карту, затем выдаёт деньги. Пока делали наоборот, тысячи пенсионеров забывали карты

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

А то вдруг какой-нибудь жулик пополнит счёт - ужас-ужас. Тут не надо перегибать палку и усложнять, скорее надо более осмысленно подойти к интерфейсу.

Ответить
Развернуть ветку
10 комментариев
Антон Волков

Защитники тикова, ваш выход 

Ответить
Развернуть ветку
Dmitr

Эта потрясающая кнопка "Уйти" получила награду iF Design. Вы просто не умеете ей пользоваться.

Ответить
Развернуть ветку
2 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Начальник ботов
  виноват Тиньков. Все верно?

Виноват Тинькофф.

МПС требуют, чтобы пин-код вводился перед каждой расходной операцией, если процесс бесконтактный - рекомендуют так же просить сделать ретап картой\телефоном.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Можно и так сказать, но с одним "но" она думала что сессия закрыта, так как не нашла больше кнопки для её завершения, моё мнение, это не доработка тинькофф банка, так же как отсутствие запроса авторизации если предыдущую операцию прервали. Её вина что оставила сессию, но человек который этим "воспользовался" мог ей помочь и закрыть сам.
Совокупность факторов привела к проблеме.

Ответить
Развернуть ветку
VLAD

Нет, не верно! Мужу-топикстартеру пришёл пуш о пополнении

Ответить
Развернуть ветку
2 комментария
Семён Бочкарёв

Классическая проблема, когда дизайнеры интерфейс проверяют, а безопасники - нет. 
Пока Тинькофф не пофиксит свои банкоматы - сто раз перепроверяйте, и других научите, что сессия должна быть закрыта.

Ответить
Развернуть ветку
Семен Смирнов

Банкоматы же изобрели вчера, поэтому нужно проводить обучение

Ответить
Развернуть ветку
1 комментарий
Driver MOSCOW

Я одинь ничего не понимаю, положить деньги что бы сразу за них купить платье, милок вы или с бодуна или перегрелись? 

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

Кэшбек сам себя не заработает. А наличные слишком дорогие, чтобы раздавать их магазинам за просто так.

Ответить
Развернуть ветку
Gennady Marchenko

А твое то какое дело, как люди тратят свои деньги?

Это никакого отношения к проблеме не имеет

Ответить
Развернуть ветку
kuskus kuskus

И конечно реклама своего телеграммчик🤣

Ответить
Развернуть ветку
Алекс Дундин

А вот. Помню на одном другом популярном гик сайте зелёный банк ругали за двойную авторизацию, а Олега хвалили, как у них всё удобно сделано.

Ответить
Развернуть ветку
Gennady Marchenko

Автор, пожалуйста напиши чем все кончилось, для многих людей это важно

Ответить
Развернуть ветку
Семен Смирнов

Подписались на телеграм канал?

Ответить
Развернуть ветку
am8am

А всего лишь надо  закрывать сессию при отходе человека от терминала — даже писуары умеют это делать))

Ответить
Развернуть ветку
color

Об этой проблеме известно еще 2 года как в banki.ru.
Пацаны из Тинькова просто хер забили на ТРЕБОВАНИЕ МПС к сертификации банкоматов, а именно к запросу PIN кода на ЛЮБУЮ операцию.

Ну типа, хехе, давайте сделаем удобным людям, мы же крутые интерфейсники. Да и банкоматы наши, можно писать как угодно прошивку.

Вот и результат, вы не первый, вы не последний, пользоваться NFC прикладыванием к банкомату не советую ни в тиньке, ни в альфе ни в другом банке, потому что сделано это максимально криво!

Ответить
Развернуть ветку
Алексей //////////

Меня в этой истории другое напрягает, что все разработчики подобных электронных платформ и сервисов,(а автор является одним из них) почему-то слишком самоуверенны в своём профессионализме и всепредусмотрительности. Но электронные системы это всегда всегда риск. Это не только "поле дураков" и безнаказанность для хакеров, но и удобство злоупотребления властью госструктурами и банками. Всегда найдётся дырка, просчёт, злой умысел, гениальная схема воровства или новая технология воровства. Электронные системы должны оставаться вспомогательным, второстепенным средством расчётов. Страшно представить масштаб потерянных населением средств. И не важно, по собственной ли доверчивости или в результате подобных дырок систем они теряли деньги. Навязали неопытному населению электронные отношения, в которых даже опытные пользователи часто прокалываются. Считаю это преступлением против населения, бездумным, непредусмотрительным, торопливым и небрежным воплощением сложных электронных отношений.

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

Кто кому чего навязал?

Нал всё еще разрешен и им можно платить. ЗП тоже можно получать в кассе банка, а пенсию на почте.

Это вы варитесь в своем технологическом мирке и думаете, что старый мир угас, а он живее всех живых. Нал есть и прекрасно себя чувствует (пока кошелек в транспорте не вытащили).

Ответить
Развернуть ветку
1 комментарий
Антон Волков

Он не способен жить в этом мире 

Ответить
Развернуть ветку
Яков Левин

Писал в тех. пддержку ещё в сентябре 2020 года.

Ответить
Развернуть ветку
Leha Shum

В Тинькове насрали на безопасность 
Тут очевидная огромная проблема

Ответить
Развернуть ветку
Начальник ботов

Про то, что можно легко лишиться денег, т.к. сессия автоматически не завершается у Тинькофф при использовании телефона или прикладывании карты к NFC-ридеру, известно года так с 2018-ого.

На склянках есть куча тем. Навскидку:
https://www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=356010&MID=6860734#message6860734
https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=380387

Ответить
Развернуть ветку
Дмитрий Евсеев

На главной теперь только одна приемная?
Вц теперь портал для людей которые любят жаловаться и срать большие компании в комментах?

Норм комитет скатился - на тж власть срут, тут крупные российские компании. Один негатив и никакой полезной информации для бизнесменов и стартаперов.

Пока что только дтф держится не прогибается под натиском токсиков. Их там быстро минусят.

Ответить
Развернуть ветку
Иван Шеметов

Почему в Додо готовят без перчаток? 

Ответить
Развернуть ветку
Dmitry Mezenin
Пока что только дтф держится не прогибается под натиском токсиков. Их там быстро минусят.

Мы сидим на разных DTF?) Для примера, там который день празднуют уничтожение xYz.

Ответить
Развернуть ветку
1 комментарий
Dmitriy

На лицо проблема в UX и виноваты в этом дизайнеры. Вспомните те самые знаменитые онлайн курсы, после которых студенты уходят работать в банки и что из этого выходит. Красиво, но не безопасно. Еще и хвалятся, какие они крутые. 

Ответить
Развернуть ветку
Илья Фирсов

мда... бред конечно с такими приколами работы банкомата. тут после каждой операции просит авторизацию и постоянно приходится вводить. а тут такая дыра :(

Ответить
Развернуть ветку
Дима Шмелёв

красава! наконец конструктивная статья без нытья.
ну казалось бы найти следующего пользователя банкомата вообще изи дело, если это клиент, в зибеле есть инфо о времени операций, если не клиент - то камеры. 
интересно, чем всё решится, неужели "извините, мы не можем"
кстати, мне чёт не везло с апреля пополнить через банкомат Т свою карту, как ни приходил - всегда ошибка. в итоге через Элекстен на заправках пополнял

Ответить
Развернуть ветку
Андрэ Бонд

Какая супруга не внимательная. То не по погоде одевается, а вместо того, что бы вернуться и переодеться, покупает себе новую шмотку для текущей погоды. При этом она не внимательная и в банкомате. Или супруга очень продумана, и платье себе купила и дала повод прорекламировать свой канал.

Ответить
Развернуть ветку
Антон Волков

Тиньков так заботится о людях с ограниченными возможностями, что банкоматы делают сенсорными. Только слепые люди не знают, как с ними обращаться. Они считают их вторым сортом.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иван Шеметов

Сотрудники Тинькофф которые регистрируются ради таких комментариев тупо лайк

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Nick Chernykh

Да все очень просто-это такая реклама Тинькофф, через негатив. Этот персонаж ещё парочку шаржей метнет.

Ответить
Развернуть ветку
Тимур Умаров

Адепты "рекламы через негатив", вы хотя бы в общих чертах представляете, как это должно работать? :) Какое отношение это имеет к текущей ситуации?

Ответить
Развернуть ветку
2 комментария
Иоанн Грозный

Так, все-таки, поясните, пуш-уведомление на пополнение карты прилетело, а на снятие денег с нее буквально через минуту, нет?

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Верно, так как у меня не подключена платная услуга информирования о расходах.

Ответить
Развернуть ветку
Sergeevichev Mihail

Клиент Тинькофф. Не знаю как вы, но я внося или снимая средства, даже не смотрю на экран. Перед операцией и после ее завершения я сознательно жму красную железную кнопку Exit и на всякий не один раз.

Ответить
Развернуть ветку
Александр Трофимов

Эммм. Ты перепутал банкоматы. Это сенсорный. Тут весь ввод через экран. И нет никаких красных железных кнопок. Вообще кнопок нет.

Ответить
Развернуть ветку
1 комментарий
Сергей

Не парьтесь, в скором времени Тинькофф вам скажет что они супер классным алгоритмом решают когда завершить сеанс, а когда нет. И сделать с этим ничего нельзя будет.

(Не по существу, а просто прицепился к банку и к тому как меня бомбит от их отключения смс подтверждения при изменении расходного лимита по карте. И вот их отмаза была такая как выше)

Ответить
Развернуть ветку
am8am

Какая там кстати длина сессии? Минута? 

Ответить
Развернуть ветку
1 комментарий
Евгений Васильев

Есть еще вариант, злоумышленники знали об этом(баге) и просто мониторили из далека. У нас в городе пару банкомат ов тинковп( один недавно видел в Тц) запросто видно с улицы. Выловить такого клиента за день, да запросто, особенно если человек пожилой, забывчивый. 

Ответить
Развернуть ветку
Игорь

Только это всё равно преступление будет. Даже если клиент забыл закрыть сессию.

Ответить
Развернуть ветку
Евгений Васильев

Сорри т9, 2 банкомата Тинкофф на город

Ответить
Развернуть ветку
solbon zhigzhitov

22 апреля перевёл с личного кабинета 51500 руб в Contact. Деньги потерялись. Тиньков прислал бумагу от Qiwi, что средства отправлены получателю. При чем тут Qiwi если перевод был в Contact никто не объяснил и деньги не вернули. Это второй случай. Первый был лет 7 назад.

Ответить
Развернуть ветку
Leha Shum

Где же ты Звезда приёмной

Ответить
Развернуть ветку
Тинькофф

Мы получили документы по оспариваемой операции, которые подтверждают успешность платежа на 51 500 рублей.

Оспаривание операции идет между банком, который выпустил карту клиента, и банком, который обслуживает сервис. Поэтому документ предоставлял Qiwi банк, так как они обслуживают систему CONTACT.

Если вы уверены, что платеж не зачислили, то нам нужно опровергнуть их позицию. Для этого потребуется выписка по карте получателя с указанием первых шести цифр номера карты и последний четырех (маска карты), в которой будет видно отсутствие зачисления такой суммы. Выписку можете прислать в чат приложения.

Ответить
Развернуть ветку
Богдан В.

Невнимательность жены+недоработка интерфейса (не логики, заметьте) привело к недоразумению.
Интересно другое - какой юиксер сделал серое на сером и это пропустил рук?
Наверное, у тинька траблы с кадрами.;)))

Ответить
Развернуть ветку
Александр Трофимов

Недостаточно просто изменить цвет кнопки. Мошенники бывают разные. Обстоятельства бывают разные. Тут проблема именно в бизнес процессе. 

Ответить
Развернуть ветку
Leha Shum

Что мешало рвать сессию после того как человек отходит от банкомата?)))

Ответить
Развернуть ветку
Александр Попадьин

Миша, привет :) Эта фича есть не только у тинькова. В альфе, кажется, тоже можно так попасть, если не завкршить сеанс.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Кстати, Саша, что про дизайн скажешь, как эксперт? 

Ответить
Развернуть ветку
1 комментарий
Xopek1986 Т

Почти год назад я столкнулся с такой же ситуацией. Тоже также увели деньги с карты. Тоже решил пополнить баланс карты. Банкомат не принимал деньги и я ушел. СМС оповещение были отключены. И только утром увидел что на карте нет денег.... Тут тоже где-то моя статья есть про эту серую кнопку "УЙТИ"

Ответить
Развернуть ветку
Алена Мельник

Со мной приключилась такая же история пару лет назад. Решала через полицию. Деньги вернули + вор заплатил компенсацию за моральный ущерб и получил условный срок. 

Ответить
Развернуть ветку
Руслан Владимирович

Банкоматы Тинькофф к безопасности не имеют никакого отношения. Единственный тип банкоматов, где специально сделано чтобы вводимый пин код видели все вокруг. Панель вынесли на самое видное место, и, естественно, оно никак не закрыто ни с каких сторон. Я уверен, что в ткс только имитируют безопасность, осложняя жизнь клиентов. Когда речь про настоящую безопасность, то тут ей и не пахнет.

Ответить
Развернуть ветку
Денис Денисов

Раз двести рекламу говноканала вставил

Ответить
Развернуть ветку
Evgeny Yakimov

Автор, просто ваша супруга не завершила сеанс.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
AEW

Оставил кошелёк в баре, а когда вернулся там не было денег. Считаю производитель кошельков должен был прислать смс или пуш.
Кошелёк не должен был открыться без пин кода.

Конечно же шучу, возможно, Тинькофф сделал непонятный интерфейс, возможно, нужно чуть внимательнее быть при пользовании банкоматов и тд и тп, в общем выводы адекватные :)

Ответить
Развернуть ветку
John Smit

Мутная история. Слишком много совпадений, вероятность которых произойти одновременно стремится к нулю.

Ответить
Развернуть ветку
Leha Shum

Вероятность чего стремится к нулю, того что мошенник следит за банкоматом и сразу к нему подбегает? Эта вероятность стремится к 90%, судя по сообщениям этой дыре два года

Ответить
Развернуть ветку
Ivan Susanin

Блин, вот на что я фанат Тинькофф и топлю за них (меня даже пару раз подозревали в джинсе в комментах на vc), но банкоматы какие-то отстойные у ТБ. Огромный экран - это хорошо, конечно. Но:
1. У меня почти никогда не получается нормально отсканировать QR код на снятие. В последний раз провозился попыток пять с банкоматом в форме пули в Авиапарке, но в итоге все равно снимал картой
2. Нет покупюрного набора - как мне снять 5000 рублей соточками, непонятно
3. Теперь еще и про дыру с деавторизацией узнал из статьи

Ответить
Развернуть ветку
Тинькофф

Привет. А подскажете когда были такие сложности? Сейчас банкомат работает исправно и никаких сложностей мы не наблюдаем в его работе.

Покупюрного набора и правда нет. Возьмем на заметку фидбэк. В деавторизации нет никакой дыры, это его нормальная работа. Как и указали выше, мы автоматически завершаем сессию после 45 бездействия.

Ответить
Развернуть ветку
8 комментариев
Дмитрий Королев

Как мне кажется, можно было бы подключить камеру, что если человек выходит из поля зрения(а точнее его лицо) автоматически предложить закрыть сеанс (вопрос в том, дать ли время на варианты ответа). Но конечно при обычной отмене, надо просто блочить сессию, а не оставлять открытой...интересно, сколько времени нужно, чтобы сработал автовыход.

Ответить
Развернуть ветку
fox
Ответить
Развернуть ветку
1 комментарий
Михаил Фокеев
Автор

Спешу поделиться обновлением по данному тексту. Вчера вечером, Тинькофф банк по моему обращению принял решение в мою пользу.

Банк отменил операцию по снятию наличных, так как проверили что операцию совершил другой и его попросили вернуть средства. Это решает проблему утраты, при этом остаётся заявление в полицию. Если банк нашёл человека снявшего средства, то возможно передал сотрудникам полиции.

Человеку, в теории грозит уголовная ответственность и возмещение ущерба.

И тут пока для меня не понятный вопрос... Человек должен вернуть мне средства, а я должен передать их банк? Или средства вернутся мне, получится двойной возврат? Или человек вернёт средства банку?
И что с моим заведением в полицию? Дело закрыто или теперь это дело исключает меня и конфликт между банком и "злоумышленником"? Могу ли я узнать кто он и его мотивы? Если это было намеренно, хотелось бы что человек понёс наказание?

Буду ждать развития ситуации, когда найду ответы на эти вопросы, обязательно напишу.

Ответить
Развернуть ветку
Тинькофф

Простите, ранее мы не совсем верно сообщили результаты проверки. Мы не смогли найти клиента, который воспользовался незавершенной сессией. Тем не менее, однозначно определить злой умысел в этой ситуации мы не можем.

Каких-то рекомендаций по взаимодействию с полицией в таких случаях также не можем дать, это остается на ваше усмотрение.

Если посчитает нужны дождаться окончания расследования от полиции, и они смогут вернуть деньги, вы можете внести их на счет банка через наш банкомат. Мы готовы помогать полиции в проводимом расследовании.

Ответить
Развернуть ветку
Тинькофф

Уточним и вернемся с деталями.

Ответить
Развернуть ветку
Александр Трофимов

Ну. Тут хищение очень сложно будет пришить. 

Ответить
Развернуть ветку
R1250GSA

Однажды в ТЦ Пик в Питере наблюдал странного мужичка, который перед каждым, кто хотел воспользоваться банкоматом Тинькофф, пытался как-то скрытно подсунуть свой QR к считывателю, стоя у соседнего банкомата. Получалось конечно неуклюже и заметно... Видимо ещё только падаван.

Ответить
Развернуть ветку
kuskus kuskus

Как там от банкомата сбера, который за метр можно что то подсунуть если ты не Лукаку%? 🤣

Ответить
Развернуть ветку
2 комментария

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Kirill

Была похожая история, когда не завершился сеанс и деньги снял следующий человек. С тех пор только вставляю карту. Никаких авторизаций по бесконтакту. Та история завершилась положительно. Тинькофф опознал клиента забравшего чужие деньги и попросил их вернуть.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
юрий с

Боты помогают оправдать банк, не лучше бригады следователей из Москвы. Что нужно чтобы это понять Олегу?

Ответить
Развернуть ветку
INTEGRITY INTEGRITY

А мой случай такой ,что за пол года 200т + 35 т украли со счета ,а все говорят что ничего не могут сделать и чтобы я обращался в полицию ,проблему не решили ,деньги не вернуть ,и все мошеннических действия

Ответить
Развернуть ветку
Герман Манвелов

"Напоследок" пишется слитно. Расследование интересное, спасибо, учтём.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Спасибо, исправил.

Ответить
Развернуть ветку
iFenixxZ Gaming Channel

Хорошая статья и рекомендация, уверен что многим поможет.

Я всегда слежу до окончания сессии с первого дня пользования терминалами этого банка. Система не самая удачная для невнимательного потребителя

Ответить
Развернуть ветку
Сергей

Сталкивался с таким неоднократно. Когда после начала использования банкомата отображается счет того, кто пользовался банкоматом передо мной, то есть человек просто не вышел из своего «аккаунта».

Да, это недоработка Тинькофф Банка, так как нужен какой-то механизм защиты.

Но нужно понимать, что потерять свои деньги можно только из-за невнимательности, так как перед началом использования банкомата требуется вставлять карту в банкомат или прикладывать ее, а затем вводить PIN-код. Многие почему-то об этом забывают.

Ответить
Развернуть ветку
am8am

Их ввод пин кода на терминалах олега во весь экран на тач дисплее который даже не прикроешь тк прикрывая тыкнешь не туда — это гораздо более значительное зло. Вообще банк гнусный в этом плане — внезапно в апреле прикрыли пополнение карт по реквизитам и qr (спасло бы и в вашем кейсе) — банкоматы/терминалы просто писали сервис временно недоступен после ввода всех деталей.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
ден к

Не сталкивался с такой проблемой. При пополнении (я всегда использую номер телефона) приходят либо пши либо смс для авторизации. 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
nnstepan n

Банк, банкоматы которого на данный момент времени не принимают купюры номиналом 2000 имхо банком называться не может

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Евгений Маркин

Здравствуйте, я Маркин е.с. И у  меня аналогичная ситуация, но и полиция и банк молчат, банк почему то аж до 9 июля проводит проверку. С 25 июня уже 8 дней как прошло, никто даже не пытается ничего сделать, есть видеозапись человека, кто за мной в очереди в банкомат был, эта запись у СБ ТЦ. Может мне тоже в интернете нужно писать жалобы на бездействие начать чтобы кто-то наконец принялся за проверку, в общем минус 30 тысяч рублей, пол моей зарплаты месячной это, в полиции не принимали мое заявление и составили по своему образцу где прописано что это для меня незначительная сумма, опер просто не хочет работать, вот и составил так. Бардак. В прокуратуру писать или что делать, даже и не знаю. 

Ответить
Развернуть ветку
Михаил Фокеев
Автор

В моей истории человека уже нашли, сейчас ждём информации от МВД.
А банк быстро обработал обращение, моё мнение, в том числе из за публикации. Тоже думал проверка затянется.

Ответить
Развернуть ветку
Дмитрий Кулагин

Вчера столкнулся с похожей ситуацией. Вечером внёс на свою карту 5 000 руб, после решил перепроверить и думал снять 2 000. Но банкомат завис. Как потом оказалось, была выдача наличных в 5 000 руб спустя 1й минуты после зачисления. Телефона у меня с собой не было и о списание я нечего не знал. Придя домой я увидел данное оповещение и начал звонить в банк. На что сотрудники Тинькофф банка зафиксировали моё обращение и сказали ждать около 17 дней. Сегодня я повторно позвонил и объяснил ситуацию, т.к после меня подошёл молодой человек и стал выполнять свои операции. Я попросил ускорить моё обращение, т.к можно идти по горячим следам. В каждом ТЦ есть камеры, в каждом банкомате установлены камеры и пока не поздно, нужно решить данный вопрос. По срокам решение проблемы уже стало меньше дней в место 17 дней, стало 3 дня. Буду надеется, что мой вопрос всё же решать и мне вернут мои деньги.

Ответить
Развернуть ветку
Тинькофф

Хотели бы проверить все детали во вашему кейсу. Подскажите, пожалуйста, ФИО и дату рождения нам в личку с ссылкой на комментарий. Во всем разберемся и попробуем помочь.

Ответить
Развернуть ветку
1 комментарий
Дмитрий Кулагин

...

Ответить
Развернуть ветку
Тинькофф

Приветствуем.

Банкомат работал исправно, ситуация возникла из-за того, что не завершили сессию. В консультациях мы озвучили вам стандартные сроки, но смогли решить вопрос быстрее и вернули вам деньги.

Ответить
Развернуть ветку
Дмитрий Кулагин

Мой вопрос решился достаточно быстро, уже 26 числа вечером денежные средства поступили мне обратно на мою карту. Не знаю конечно, что по итогу там произошло. Но главное, что плюсом в мою сторону. Мне не пришлось бегать по полиции, писать заявление и заводить дело, что с экономило мне достаточно времени.

Ответить
Развернуть ветку
Михаил Фокеев
Автор

Это да, но человек который забрал твои деньги, чувствуя безнаказанность, теперь может заберёт их у кого-то другого.

Ответить
Развернуть ветку
Сергей Сиделев

То есть человек ввел пин, не выполнил никакой операции, оставил открытой сессию на банкомате не нажав выход...
А виноват Тинькофф? )))
Для сравнения - я на работе захожу в личную почту и не выхожу, оставив сессию открытой. Могу ли я обвинить Гугл, что кто прочитал мои письма? Или сам дурак?

Ответить
Развернуть ветку
259 комментариев
Раскрывать всегда