После использования банкомата «Тинькофф» деньги были украдены со счёта
В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.
Итог работы над упрощением клиентского сценария для банкомата Тинькофф – я потерял деньги, в МВД открылось ещё одно дело, кому-то, возможно по ошибке, грозит штраф или срок.
Обнаружение утраты
В последнее время не часто можно встретить наличные деньги и когда они появляются, в скором времени они отправляется на счёт. Именно это я и хотел сделать, когда оказался в торговом центре МЕГА Химки, где есть несколько банкоматов Тинькофф.
Так как у нас с женой один счёт, она вызвалась мне в этом помочь, взяла деньги и ушла к банкомату, допустим с 10 000 рублей, я же занялся своими делами.
Несколько минут спустя мне пришло push-уведомление о зачислении средств и звонок жены что задача выполнена, несколько купюр не принято, так как банкомат не принимает купюры номиналом 2 000 рублей, она ушла по магазинам. Допустим, время было 17:00.
Жену я нашёл в примерочной. Было жарко, для погоды, она была тепло одета. Найдя подходящее платье, попросила меня оплатить его и принести ей, чтобы сразу переодеться.
На кассе, при оплате, мне выдало сообщение что недостаточно средств. Я насторожился, оплатил с другой карты и возвращаясь в примерочные, зашёл в интернет банк проверить счёт. Время было 17:25.
Увидел, средства были сняты через банкомат почти до нуля, сразу после пополнения счёта. Первая мысль, меня разыгрывает жена, отдавая ей платье я спросил “что за шутки” и показал экран телефона с открытой историей транзакций. По глазам понял, что это не её проказы.
Спасло одно, по моему опыту работы в банках, никогда не храню на картах много денег. Было потеряно допустим 20 000 рублей.
Звонок в банк и визит в полицию
Мы сразу связались с банком, сообщили о краже. Нас расспросили про детали произошедшего и направили в полицию для того чтобы мы оставили заявление.
До ближайшего отдела, мы добрались в 18:00, включая время на разговор с банком.
Скажу сразу, это был первый визит в нашей жизни в отделение полиции, мы не знали, что делать, жена была на нервах. Спасибо первому отделу полиции, Управления МВД России по г.о. Химки, что приняли нас, вошли в положение, помогли всё оформить, успокоить жену. И конечно же за то, что оперативно принялись за работу. В 18:30 мы получили «талон-уведомление» и покинули здание полиции.
Личное расследование
Так сложилось, что моя работа придумывать сервисы для людей и упрощения их жизни. Последний мой проект — это платформа Единой биометрической системы, с помощью которой открывается много возможностей, но и появляется много опасностей для человека. Разрабатывая каждый сервис, мы с командой думали не только о том, как сделать клиентский путь удобней, но и как защитить человека от мошеннических действий.
Покинув отделение полиции, мы пошли к банкомату Тинькофф, мне захотелось изучить интерфейсы и понять, как это произошло. Рассматривал я сценарий пополнения, чтобы понять где могла быть дырка.
Но когда я это сделал, волосы на моей макушке встали дыбом.
Позитивный сценарий
Первое что я проверил, это успешный сценарий внесения средств.
- Выбрал на главном экране “Пополнить”.
- Появился запрос на аутентификацию и авторизацию действия.
- Приложил телефон к банкомату, потом ввёл ПИН.
- Данные были приняты, открылся карман банкомата для приёма денег.
- Туда для проверки залетело две купюры, 1 000 и 2 000 рублей.
- Банкомат принял купюры, подумал, сообщил что успешно забрал 1 000, купюру 2 000 вернул.
- Операция завершилась, я попробовал выполнить другие операции, банкомат снова запросил авторизацию.
Всё верно, одна операция на которую дана авторизация, что-то тут не так. Попросил жену повторить ещё раз что она делала.
Негативный сценарий
В рассказе жены, я обратил внимание на то что она пыталась ещё раз внести бумажки номиналом 2 000, но увидела, что их банкомат не принимает и отменила операцию. Я вернулся к банкомату получился следующий сценарий.
- Выбрал на главном экране “Пополнить”.
- Появился запрос на аутентификацию и авторизацию действия.
- Приложил телефон к банкомату, потом ввёл ПИН.
- Данные были приняты, открылся карман банкомата для приёма денег.
- Нажимаю кнопку “Назад”, попадаю в меню выбора валют.
- Нажимаю кнопку “Назад” ещё раз, попадаю в меню с двумя вариантами “Пополнить эту карту” и “Всё остальное”.
- Нажимаю ещё раз кнопку “Назад”, попадаю на главный экран с выбором других операций, таких как “Снять”, “Перевести”, “Оплатить”.
- Пробую нажать “Снять”.
- Открывается меню снятия средств и без дополнительной авторизации снимаю ранее внесённую 1 000.
Ещё раз проделываю весь этот маршрут, понимаю, что между главным экраном до аутентификации и главным экраном после аутентификации есть небольшая разница.
Если не обращать внимание на детали, можно оставить свою сессию, с авторизацией любых действия со счётом, подумав, что она сбросилась, когда вы вышли на главный экран. Но для полного выхода, требуется ещё нажать на серую надпись “Уйти” на сером фоне.
Ещё раз поговорил с женой, догадка подтвердилась, именно кнопка “Уйти” и не была нажата. Сессия осталась висеть, следующий за женой человек имел доступ полностью ко всем средствам.
Но, есть маленьких шанс, что он даже не понял, что открыт не его счёт, как я говорил, главный экран после аутентификации почти не отличает от главного экрана до аутентификации. И снимая все средства, думал «вот мне фортануло и кто-то кинул случайно денег». Но теперь, ему грозит уголовная ответственность.
Кто виноват и что делать
Анализируя историю, пришёл к некоторым выводам:
- СМС банк в таких случаях не поможет, если средства снимались намеренно, максимум что можно сделать попросить злоумышленника их вернуть, а он может отказаться и уйти. Полиция подтвердила, что в таком случае только через заявление можно разрешить конфликт.
- Команда Тинькофф банка допустила, по моему мнению, ошибку. Позволила при отмене одной операции не запрашивать авторизацию, при повторном выполнении аналогичной операции или операции другого типа. Как лицо принимающее решения в аналогичной сфере, по своему субъективному мнению, считаю что это дырень в безопасности размером с луну. За такой косяк, свою команду я бы не поблагодарил.
- Что надо проверять, не оставил ли предыдущий клиент сеанс, чтобы не столкнуться с проблемами в будущем. Как думаю все знают, в каждом банкомате есть камера, а в торговых центрах зоны с банкоматами, галереями, входами и выходами, парковками тоже под наблюдением. И при обращении органов, нужно быть ниндзя, чтобы вас не нашли.
- При использовании банкоматов, безопаснее всего использовать карту (при этом не pay pass) или биометрию. Так как при правильно спроектированном клиентском пути эти факторы подтверждают фактическое присутствие лица, которому принадлежит счёт в момент совершения операции. А ещё лучше использовать оба этих фактора.
Напоследок
В этой истории не могу со 100% уверенностью сказать, что кто-то действовал намеренно, имеет недостаточные компетенции или глуп. Как потерпевший, являюсь заинтересованной стороной, поэтому могу писать предвзято.
Но совокупности всех несовершенств процессов и участников, привела: к потере средств клиента банка Тинькофф, а в следствии, потерей лояльности к банку, возбуждении дела в МВД. Если человек совершил действия не намеренно, а запутавшись в интерфейсе, то он может даже не поймёт за что его привлекают.
Надеюсь, моя история закончится happy end’ом, мне вернутся средства, команда Тинькофф доработает клиентский путь, чтобы сделать его безопасным. А пока, будьте бдительны и не совершайте моих ошибок.
Так же, ещё про сферу IT и всё что около неё можете почитать на моём канале в Телеграм An Log.
P.S. Тинькофф банк, если хотите чтобы я рассказал вам больше, свяжитесь со мной)
Здравствуйте.
Нам действительно жаль, что так произошло. Супруга авторизовалась бесконтактным способом и, после того как операция не прошла, действительно не завершила работу с банкоматом. Мы прекращаем сессию автоматически, если ничего не делать 45 секунд.
Мы продолжаем разбираться в ситуации и обязательно вернемся с результатами. Также передали обратную связь ответственным, чтобы рассмотрели варианты уведомлений о том, что нужно выйти или завершить сессию.
достаточно сделать так, чтобы любая операция подтверждалась в приложении)
Очередные отписки сммщика…
Вы попробуйте кнопку «выйти» сделать большой, заметной и анимированной.
Либо модальное окно после неуспешной операции, как в стареньких банкоматах: «хотите продолжить операции?»
Сделали убогую блевоту серого цвета на сером фоне в самом углу, малюсенького масштаба.
Я на фото автора статьи секунд 20 эту малюсенькую кнопочку искал, при этом специально.
Вашим дизайнерам не курсы по дизайну надо вести, а самим блин учиться и голову включать, понимая, что за свои косяки — надо отвечать, люди деньги теряют.
Почему 45? правильней было 42.
А на самом деле, так как есть камера - то просто по изменению (отсутствии) лица в кадре, без всяких ожиданий.
Деньги снял другой человек, мы связались с ним и попросили вернуть их. Сейчас мы уже зачислили деньги на ваш счет.
Пожалуйста, не забывайте нажимать кнопку «Уйти» на экране банкомата в конце сессии.
Дополнительно подумаем, как улучшить интерфейс, чтобы избегать таких случаев.
Сделайте, хотя бы, цветовую дифференциацию для авторизованного и нет состояний приложения. Такие приложения должны быть максимально интуитивными.
Купить настоящие банкоматы вместо самоделок не хотите?
Кстати, я наивно полагал, что при авторизации после клика "внесение", можно только вносить средства и ничего не боялся. Оказывается это не так, это огромная дыра и ваш фейл, даже не представляю какие идиоты это сделали, вы просто обязаны их уволить и довести интерфейс до ума, пригласив безопасников.
Сегодня с женой в XL на Дмитровке попали в такую же ситуацию, только с другой стороны - мы подошли после того как перед нами чувак довольно долго пополнял карту (не потому что много, а потому, что тупил) и тапнули "Пополнить" сразу.
Но вместо запроса на авторизацию высветилось "Пополнить эту карту". Это и насторожило, и я, шаря по экрану глазами, как раз и увидел серую надпись "Уйти". То есть мы были в сеансе чувака перед нами и если бы не внимательность - пополнили бы его карту, а не нашу.
Поддержу автора - эту надпись почти не видно, да и экран внутри сеанса выглядит почти как главный.
Ага, это частая ситуация у Тинькова - https://www.banki.ru/services/responses/bank/response/10238676/
Такие отзывы на банки.ру всплывают регулярно. Вся их затея с отказом от стандартных банкоматов и разработкой своих собственных - это сплошной фейл.
Любое действие с деньгами должно быть подкреплено либо пином, либо прикладыванием nfc устройства -> потом сразу идет физическая операция с деньгами. После этого любая операция опять идет через пин или nfc. Это у нормальных банков. Тут какая-то собственная мега логика.
Хотя напиши они на экране хотя бы твои инициалы или аватар (который показывается при входе в инет-банк), то уже было бы легче.
Аналогично, на днях подошел к банкомату после женщины которая забыла сделать выход из учетки. Точнее, она даже не знала что надо это сделать.
Комментарий недоступен
Попробую объяснить.
Банкомат - это не безопасная зона. Раньше, подтверждением того что операцию выполняет именно владелец карты, необходимо было вставить карту ввести пин. Если операция выполнена или прервана, для совершение новой нужно заново вставить карту и ввести пин.
Полностью аналогичный сценарий поддерживает тинькофф при полном завершении транзакции. Новую ты не совершишь без ввода пин. Но если превать выполнение, на другие операции авторизация не будет запрошена.
Пример угрозы, ты подходишь к банкомату проверить счёт, прикладываешь телефон вводишь пин, тебя отталкивают, нажимают "назад" и снимают все средства с карты.
дай вам бог внимательных родственников и крепкий ум в старости. Ну или банкоматы, где о вашей безопасности заботятся чуть больше, чем в описанном сценарии. На мой взгляд - выдавать деньги сразу после их внесения довольно странная операция при любом раскладе. Даже если человек вспомнил что хотел оставить себе 5 000 ил вносимых 50 000, он не переломится если еще раз наберет пинкод. А если он положил 5 000, а потом снял 50 000, то это странно вдвойне. Обычно люди св таких ситуациях просто снимают 45 000. Тут не запросить пинкод уже просто безответственно.
виктимблейминг плотно укоренился в нашей среде. это очень выгодно разного рода мошенникам и насильникам. пожалуйста, не поддерживайте их, и не помогайте им осуждая жертву.
Просмотрел минусаторов. Нашел нескольких молчунов, которые почти не комментируют, но видимо только раздают минусы. Причем их редкие коменты посвящены Тинькову.
Похоже на VC.ru идет скоординированная атака на банк "Тинькофф" с помощью заказных статей и ботов, затыкающих рты адекватным людям.
https://vc.ru/u/20184-mikhail-komlev
https://vc.ru/u/89877-arthur-g
https://vc.ru/u/99453-anton-larchenkov
https://vc.ru/u/442966-dogs-are-everythiing
https://vc.ru/u/846205-dmitr
Банально интерфейс должен явным образом давать понять, что ты авторизован а не на начальном экране, в кейсе автора интерфейсы действительно идентичны что вводит в заблуждение
Вот это хуев тебе напихали, Игорек! Ты хоть не подавился?
Перед сберовскими стоит очередь не потому что у них "все сложно", а потому что юзеров куда больше и этими юзерами чаще юзается наличка.
Взять даже меня и моих родителей: я последний раз банкомат видел в начале сентября (тинькоффский к слову), родители же каждый раз зарплату в налик переводят в сберовском.
Ты, видимо не юзал сберовские, раз говоришь, что у них все плохо. Единственное удлиненние сеанса у сбера по nfc - как раз дополнительная просьба подтвердить операцию повторным прикладыванием, что делается за секунду, "ведь карта вот она, в руках".
Я всегда и на всех банкоматах проверяю выход из системы и потом ухожу!
Видел я таких яяяяк)))самых умных, внимательных и осторожных, по уши в дерьме!
Комментарий удален модератором
Дизайн кнопки уйти жестокий((((
Тинькова просьба срочно поправить интерфейс и бизнес процесс
А при наличии кнопки "назад" оформленной как нормальная кнопка с акцентом, кнопка "уйти" полностью исчезает из поля зрения. Серое на сером
Согласен. У меня тут была ситуация когда я не той картой авторизовался - пару минут искал как закрыть сессию. Те я специально искал и не сразу увидел, а уж "на своих мыслях" не увидеть вообще элементарно.
И я, как имеющий отношение к разработке софта, считаю что это косяк конкретного сценария использования.
вы не поверите, но пролистайте до Преподаватели и все поймете, и эти люди учат дизайну
https://skillbox.ru/course/product-designer/
https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=356010
13.12.2018 11:01СРОЧНО, АХАХАХ
Они в курсе о проблеме уже два года, только интерфейсник, которое это решение придумал, наверное даже повышение получил, а не выгнан с позором. Люди ежедневно бабки теряют, у банкоматов спецом типы труться, что бы смотреть "лохов", которые забыли сессию закрыть, а тиньку посрать, у него яхта зато ледокол =P
Да уж. Я обычно авторизуюсь по карте, и пару раз мой мозг "зависал" почему экран выглядит как стартовый, а карта не вылезла. Если бы авторизовывался телефоном - точно ушёл бы не нажав кнопку "выход".
Всегда опасался таких ситуаций при пользовании банкоматом без физической карты (с nfc и тд), поэтому даже после завершения сессии, на всякий случай долблю несколько раз кнопки "Сброс / Отмена" на клавиатуре. Лучше перебдеть.
У банкоматов тинькофф нет клавиатуры, у новых, по крайней мере.
Или кнопку Снять для надежности 😉
Дырка да, солидная.
Буду знать и внимательнее быть
Ну как дырка
Завершил сеанс и ушёл
Была бы дырка, были бы массовые случаи
1. Всегда ищи преступника рядом.
Сценарий - жена решила снять денег (для каких-то целей и/или кому-то , которые/кого вам знать не надо)- не рассматривается?
2. Фото талона можете выложить? А то неточные временные отметки в истории и реклама вашего канала в ТГ не внушают доверия к реальности истории)))
1. Я доверяю жене, плюс если оперативники придут к ней же, её риски выше чем профит.
2. Могу выложить талон, ещё приложить фото из участка, но как это подтвердит достоверность истории? Талон выдадут даже если я приду в полицию и скажу что котик на дереве застрял) А если не верите в мою историю, можете проверить на любом банкомате тинькофф, что такая возможность есть.
Основная цель текста предупредить людей, обратить внимание банка.
1. Сообщение о заведомо ложном доносе о совершении преступления тоже преступление. Об ответственности по 306 статье предупреждаются люди когда сообщают о преступлении.
В Сбере, хоть его и ругают, сделано гораздо безопаснее: нужно приложить карту два раза, первый раз для входа, второй раз для подтверждения операции.
Но это тоже перебор. Нужно подтверждение для второй операции, отличающейся от первой и/или для уменьшения баланса.
Так-то можно вообще на каждый чих требовать пин вводить, но безопасность от этого только пострадает.
ПС. Ну и кнопка "Уйти" - это днище конечно. Даже после замечания автора "на сером фоне" мне понадобилась минута, чтобы на фотке её найти.
меня триггерит работать с банкоматом сбера, который после каждого чиха требует приложить карту/телефон. но после этой статьи я понял, что у сбера в этом плане схема получше продумана. хочешь снять - приложи два раза. хочешь пополнить - тоже приложи два раза
А также сначала выплевывает карту, затем выдаёт деньги. Пока делали наоборот, тысячи пенсионеров забывали карты
А то вдруг какой-нибудь жулик пополнит счёт - ужас-ужас. Тут не надо перегибать палку и усложнять, скорее надо более осмысленно подойти к интерфейсу.
Защитники тикова, ваш выход
Эта потрясающая кнопка "Уйти" получила награду iF Design. Вы просто не умеете ей пользоваться.
Комментарий недоступен
Комментарий недоступен
Виноват Тинькофф.
МПС требуют, чтобы пин-код вводился перед каждой расходной операцией, если процесс бесконтактный - рекомендуют так же просить сделать ретап картой\телефоном.
Можно и так сказать, но с одним "но" она думала что сессия закрыта, так как не нашла больше кнопки для её завершения, моё мнение, это не доработка тинькофф банка, так же как отсутствие запроса авторизации если предыдущую операцию прервали. Её вина что оставила сессию, но человек который этим "воспользовался" мог ей помочь и закрыть сам.
Совокупность факторов привела к проблеме.
Нет, не верно! Мужу-топикстартеру пришёл пуш о пополнении
Классическая проблема, когда дизайнеры интерфейс проверяют, а безопасники - нет.
Пока Тинькофф не пофиксит свои банкоматы - сто раз перепроверяйте, и других научите, что сессия должна быть закрыта.
Банкоматы же изобрели вчера, поэтому нужно проводить обучение
Я одинь ничего не понимаю, положить деньги что бы сразу за них купить платье, милок вы или с бодуна или перегрелись?
Кэшбек сам себя не заработает. А наличные слишком дорогие, чтобы раздавать их магазинам за просто так.
А твое то какое дело, как люди тратят свои деньги?
Это никакого отношения к проблеме не имеет
И конечно реклама своего телеграммчик🤣
А вот. Помню на одном другом популярном гик сайте зелёный банк ругали за двойную авторизацию, а Олега хвалили, как у них всё удобно сделано.
Автор, пожалуйста напиши чем все кончилось, для многих людей это важно
Подписались на телеграм канал?
А всего лишь надо закрывать сессию при отходе человека от терминала — даже писуары умеют это делать))
Об этой проблеме известно еще 2 года как в banki.ru.
Пацаны из Тинькова просто хер забили на ТРЕБОВАНИЕ МПС к сертификации банкоматов, а именно к запросу PIN кода на ЛЮБУЮ операцию.
Ну типа, хехе, давайте сделаем удобным людям, мы же крутые интерфейсники. Да и банкоматы наши, можно писать как угодно прошивку.
Вот и результат, вы не первый, вы не последний, пользоваться NFC прикладыванием к банкомату не советую ни в тиньке, ни в альфе ни в другом банке, потому что сделано это максимально криво!
Меня в этой истории другое напрягает, что все разработчики подобных электронных платформ и сервисов,(а автор является одним из них) почему-то слишком самоуверенны в своём профессионализме и всепредусмотрительности. Но электронные системы это всегда всегда риск. Это не только "поле дураков" и безнаказанность для хакеров, но и удобство злоупотребления властью госструктурами и банками. Всегда найдётся дырка, просчёт, злой умысел, гениальная схема воровства или новая технология воровства. Электронные системы должны оставаться вспомогательным, второстепенным средством расчётов. Страшно представить масштаб потерянных населением средств. И не важно, по собственной ли доверчивости или в результате подобных дырок систем они теряли деньги. Навязали неопытному населению электронные отношения, в которых даже опытные пользователи часто прокалываются. Считаю это преступлением против населения, бездумным, непредусмотрительным, торопливым и небрежным воплощением сложных электронных отношений.
Кто кому чего навязал?
Нал всё еще разрешен и им можно платить. ЗП тоже можно получать в кассе банка, а пенсию на почте.
Это вы варитесь в своем технологическом мирке и думаете, что старый мир угас, а он живее всех живых. Нал есть и прекрасно себя чувствует (пока кошелек в транспорте не вытащили).
Он не способен жить в этом мире
Писал в тех. пддержку ещё в сентябре 2020 года.
В Тинькове насрали на безопасность
Тут очевидная огромная проблема
Про то, что можно легко лишиться денег, т.к. сессия автоматически не завершается у Тинькофф при использовании телефона или прикладывании карты к NFC-ридеру, известно года так с 2018-ого.
На склянках есть куча тем. Навскидку:
https://www.banki.ru/forum/?PAGE_NAME=message&FID=61&TID=356010&MID=6860734#message6860734
https://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=380387
На главной теперь только одна приемная?
Вц теперь портал для людей которые любят жаловаться и срать большие компании в комментах?
Норм комитет скатился - на тж власть срут, тут крупные российские компании. Один негатив и никакой полезной информации для бизнесменов и стартаперов.
Пока что только дтф держится не прогибается под натиском токсиков. Их там быстро минусят.
Почему в Додо готовят без перчаток?
Мы сидим на разных DTF?) Для примера, там который день празднуют уничтожение xYz.
На лицо проблема в UX и виноваты в этом дизайнеры. Вспомните те самые знаменитые онлайн курсы, после которых студенты уходят работать в банки и что из этого выходит. Красиво, но не безопасно. Еще и хвалятся, какие они крутые.
мда... бред конечно с такими приколами работы банкомата. тут после каждой операции просит авторизацию и постоянно приходится вводить. а тут такая дыра :(
красава! наконец конструктивная статья без нытья.
ну казалось бы найти следующего пользователя банкомата вообще изи дело, если это клиент, в зибеле есть инфо о времени операций, если не клиент - то камеры.
интересно, чем всё решится, неужели "извините, мы не можем"
кстати, мне чёт не везло с апреля пополнить через банкомат Т свою карту, как ни приходил - всегда ошибка. в итоге через Элекстен на заправках пополнял
Какая супруга не внимательная. То не по погоде одевается, а вместо того, что бы вернуться и переодеться, покупает себе новую шмотку для текущей погоды. При этом она не внимательная и в банкомате. Или супруга очень продумана, и платье себе купила и дала повод прорекламировать свой канал.
Тиньков так заботится о людях с ограниченными возможностями, что банкоматы делают сенсорными. Только слепые люди не знают, как с ними обращаться. Они считают их вторым сортом.
Комментарий удален модератором
Сотрудники Тинькофф которые регистрируются ради таких комментариев тупо лайк
Комментарий удален модератором
Да все очень просто-это такая реклама Тинькофф, через негатив. Этот персонаж ещё парочку шаржей метнет.
Адепты "рекламы через негатив", вы хотя бы в общих чертах представляете, как это должно работать? :) Какое отношение это имеет к текущей ситуации?
Так, все-таки, поясните, пуш-уведомление на пополнение карты прилетело, а на снятие денег с нее буквально через минуту, нет?
Верно, так как у меня не подключена платная услуга информирования о расходах.
Клиент Тинькофф. Не знаю как вы, но я внося или снимая средства, даже не смотрю на экран. Перед операцией и после ее завершения я сознательно жму красную железную кнопку Exit и на всякий не один раз.
Эммм. Ты перепутал банкоматы. Это сенсорный. Тут весь ввод через экран. И нет никаких красных железных кнопок. Вообще кнопок нет.
Не парьтесь, в скором времени Тинькофф вам скажет что они супер классным алгоритмом решают когда завершить сеанс, а когда нет. И сделать с этим ничего нельзя будет.
(Не по существу, а просто прицепился к банку и к тому как меня бомбит от их отключения смс подтверждения при изменении расходного лимита по карте. И вот их отмаза была такая как выше)
Какая там кстати длина сессии? Минута?
Есть еще вариант, злоумышленники знали об этом(баге) и просто мониторили из далека. У нас в городе пару банкомат ов тинковп( один недавно видел в Тц) запросто видно с улицы. Выловить такого клиента за день, да запросто, особенно если человек пожилой, забывчивый.
Только это всё равно преступление будет. Даже если клиент забыл закрыть сессию.
Сорри т9, 2 банкомата Тинкофф на город
22 апреля перевёл с личного кабинета 51500 руб в Contact. Деньги потерялись. Тиньков прислал бумагу от Qiwi, что средства отправлены получателю. При чем тут Qiwi если перевод был в Contact никто не объяснил и деньги не вернули. Это второй случай. Первый был лет 7 назад.
Где же ты Звезда приёмной
Мы получили документы по оспариваемой операции, которые подтверждают успешность платежа на 51 500 рублей.
Оспаривание операции идет между банком, который выпустил карту клиента, и банком, который обслуживает сервис. Поэтому документ предоставлял Qiwi банк, так как они обслуживают систему CONTACT.
Если вы уверены, что платеж не зачислили, то нам нужно опровергнуть их позицию. Для этого потребуется выписка по карте получателя с указанием первых шести цифр номера карты и последний четырех (маска карты), в которой будет видно отсутствие зачисления такой суммы. Выписку можете прислать в чат приложения.
Невнимательность жены+недоработка интерфейса (не логики, заметьте) привело к недоразумению.
Интересно другое - какой юиксер сделал серое на сером и это пропустил рук?
Наверное, у тинька траблы с кадрами.;)))
Недостаточно просто изменить цвет кнопки. Мошенники бывают разные. Обстоятельства бывают разные. Тут проблема именно в бизнес процессе.
Что мешало рвать сессию после того как человек отходит от банкомата?)))
Миша, привет :) Эта фича есть не только у тинькова. В альфе, кажется, тоже можно так попасть, если не завкршить сеанс.
Кстати, Саша, что про дизайн скажешь, как эксперт?
Почти год назад я столкнулся с такой же ситуацией. Тоже также увели деньги с карты. Тоже решил пополнить баланс карты. Банкомат не принимал деньги и я ушел. СМС оповещение были отключены. И только утром увидел что на карте нет денег.... Тут тоже где-то моя статья есть про эту серую кнопку "УЙТИ"
Со мной приключилась такая же история пару лет назад. Решала через полицию. Деньги вернули + вор заплатил компенсацию за моральный ущерб и получил условный срок.
Банкоматы Тинькофф к безопасности не имеют никакого отношения. Единственный тип банкоматов, где специально сделано чтобы вводимый пин код видели все вокруг. Панель вынесли на самое видное место, и, естественно, оно никак не закрыто ни с каких сторон. Я уверен, что в ткс только имитируют безопасность, осложняя жизнь клиентов. Когда речь про настоящую безопасность, то тут ей и не пахнет.
Раз двести рекламу говноканала вставил
Автор, просто ваша супруга не завершила сеанс.
Комментарий удален модератором
Комментарий удален модератором
Оставил кошелёк в баре, а когда вернулся там не было денег. Считаю производитель кошельков должен был прислать смс или пуш.
Кошелёк не должен был открыться без пин кода.
Конечно же шучу, возможно, Тинькофф сделал непонятный интерфейс, возможно, нужно чуть внимательнее быть при пользовании банкоматов и тд и тп, в общем выводы адекватные :)
Мутная история. Слишком много совпадений, вероятность которых произойти одновременно стремится к нулю.
Вероятность чего стремится к нулю, того что мошенник следит за банкоматом и сразу к нему подбегает? Эта вероятность стремится к 90%, судя по сообщениям этой дыре два года
Блин, вот на что я фанат Тинькофф и топлю за них (меня даже пару раз подозревали в джинсе в комментах на vc), но банкоматы какие-то отстойные у ТБ. Огромный экран - это хорошо, конечно. Но:
1. У меня почти никогда не получается нормально отсканировать QR код на снятие. В последний раз провозился попыток пять с банкоматом в форме пули в Авиапарке, но в итоге все равно снимал картой
2. Нет покупюрного набора - как мне снять 5000 рублей соточками, непонятно
3. Теперь еще и про дыру с деавторизацией узнал из статьи
Привет. А подскажете когда были такие сложности? Сейчас банкомат работает исправно и никаких сложностей мы не наблюдаем в его работе.
Покупюрного набора и правда нет. Возьмем на заметку фидбэк. В деавторизации нет никакой дыры, это его нормальная работа. Как и указали выше, мы автоматически завершаем сессию после 45 бездействия.
Как мне кажется, можно было бы подключить камеру, что если человек выходит из поля зрения(а точнее его лицо) автоматически предложить закрыть сеанс (вопрос в том, дать ли время на варианты ответа). Но конечно при обычной отмене, надо просто блочить сессию, а не оставлять открытой...интересно, сколько времени нужно, чтобы сработал автовыход.
https://zen.yandex.ru/media/id/5ee9deb85b22211b8e3c860b/kak-kitaicy-obmanyvaiut-tehnologii-5f86cb8c01c3532accd6c6d8
Спешу поделиться обновлением по данному тексту. Вчера вечером, Тинькофф банк по моему обращению принял решение в мою пользу.
Банк отменил операцию по снятию наличных, так как проверили что операцию совершил другой и его попросили вернуть средства. Это решает проблему утраты, при этом остаётся заявление в полицию. Если банк нашёл человека снявшего средства, то возможно передал сотрудникам полиции.
Человеку, в теории грозит уголовная ответственность и возмещение ущерба.
И тут пока для меня не понятный вопрос... Человек должен вернуть мне средства, а я должен передать их банк? Или средства вернутся мне, получится двойной возврат? Или человек вернёт средства банку?
И что с моим заведением в полицию? Дело закрыто или теперь это дело исключает меня и конфликт между банком и "злоумышленником"? Могу ли я узнать кто он и его мотивы? Если это было намеренно, хотелось бы что человек понёс наказание?
Буду ждать развития ситуации, когда найду ответы на эти вопросы, обязательно напишу.
Простите, ранее мы не совсем верно сообщили результаты проверки. Мы не смогли найти клиента, который воспользовался незавершенной сессией. Тем не менее, однозначно определить злой умысел в этой ситуации мы не можем.
Каких-то рекомендаций по взаимодействию с полицией в таких случаях также не можем дать, это остается на ваше усмотрение.
Если посчитает нужны дождаться окончания расследования от полиции, и они смогут вернуть деньги, вы можете внести их на счет банка через наш банкомат. Мы готовы помогать полиции в проводимом расследовании.
Уточним и вернемся с деталями.
Ну. Тут хищение очень сложно будет пришить.
Однажды в ТЦ Пик в Питере наблюдал странного мужичка, который перед каждым, кто хотел воспользоваться банкоматом Тинькофф, пытался как-то скрытно подсунуть свой QR к считывателю, стоя у соседнего банкомата. Получалось конечно неуклюже и заметно... Видимо ещё только падаван.
Как там от банкомата сбера, который за метр можно что то подсунуть если ты не Лукаку%? 🤣
Комментарий удален модератором
Комментарий удален модератором
Была похожая история, когда не завершился сеанс и деньги снял следующий человек. С тех пор только вставляю карту. Никаких авторизаций по бесконтакту. Та история завершилась положительно. Тинькофф опознал клиента забравшего чужие деньги и попросил их вернуть.
Комментарий недоступен
Боты помогают оправдать банк, не лучше бригады следователей из Москвы. Что нужно чтобы это понять Олегу?
А мой случай такой ,что за пол года 200т + 35 т украли со счета ,а все говорят что ничего не могут сделать и чтобы я обращался в полицию ,проблему не решили ,деньги не вернуть ,и все мошеннических действия
"Напоследок" пишется слитно. Расследование интересное, спасибо, учтём.
Спасибо, исправил.
Хорошая статья и рекомендация, уверен что многим поможет.
Я всегда слежу до окончания сессии с первого дня пользования терминалами этого банка. Система не самая удачная для невнимательного потребителя
Сталкивался с таким неоднократно. Когда после начала использования банкомата отображается счет того, кто пользовался банкоматом передо мной, то есть человек просто не вышел из своего «аккаунта».
Да, это недоработка Тинькофф Банка, так как нужен какой-то механизм защиты.
Но нужно понимать, что потерять свои деньги можно только из-за невнимательности, так как перед началом использования банкомата требуется вставлять карту в банкомат или прикладывать ее, а затем вводить PIN-код. Многие почему-то об этом забывают.
Их ввод пин кода на терминалах олега во весь экран на тач дисплее который даже не прикроешь тк прикрывая тыкнешь не туда — это гораздо более значительное зло. Вообще банк гнусный в этом плане — внезапно в апреле прикрыли пополнение карт по реквизитам и qr (спасло бы и в вашем кейсе) — банкоматы/терминалы просто писали сервис временно недоступен после ввода всех деталей.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Не сталкивался с такой проблемой. При пополнении (я всегда использую номер телефона) приходят либо пши либо смс для авторизации.
Комментарий недоступен
Банк, банкоматы которого на данный момент времени не принимают купюры номиналом 2000 имхо банком называться не может
Комментарий удален модератором
Здравствуйте, я Маркин е.с. И у меня аналогичная ситуация, но и полиция и банк молчат, банк почему то аж до 9 июля проводит проверку. С 25 июня уже 8 дней как прошло, никто даже не пытается ничего сделать, есть видеозапись человека, кто за мной в очереди в банкомат был, эта запись у СБ ТЦ. Может мне тоже в интернете нужно писать жалобы на бездействие начать чтобы кто-то наконец принялся за проверку, в общем минус 30 тысяч рублей, пол моей зарплаты месячной это, в полиции не принимали мое заявление и составили по своему образцу где прописано что это для меня незначительная сумма, опер просто не хочет работать, вот и составил так. Бардак. В прокуратуру писать или что делать, даже и не знаю.
В моей истории человека уже нашли, сейчас ждём информации от МВД.
А банк быстро обработал обращение, моё мнение, в том числе из за публикации. Тоже думал проверка затянется.
Вчера столкнулся с похожей ситуацией. Вечером внёс на свою карту 5 000 руб, после решил перепроверить и думал снять 2 000. Но банкомат завис. Как потом оказалось, была выдача наличных в 5 000 руб спустя 1й минуты после зачисления. Телефона у меня с собой не было и о списание я нечего не знал. Придя домой я увидел данное оповещение и начал звонить в банк. На что сотрудники Тинькофф банка зафиксировали моё обращение и сказали ждать около 17 дней. Сегодня я повторно позвонил и объяснил ситуацию, т.к после меня подошёл молодой человек и стал выполнять свои операции. Я попросил ускорить моё обращение, т.к можно идти по горячим следам. В каждом ТЦ есть камеры, в каждом банкомате установлены камеры и пока не поздно, нужно решить данный вопрос. По срокам решение проблемы уже стало меньше дней в место 17 дней, стало 3 дня. Буду надеется, что мой вопрос всё же решать и мне вернут мои деньги.
Хотели бы проверить все детали во вашему кейсу. Подскажите, пожалуйста, ФИО и дату рождения нам в личку с ссылкой на комментарий. Во всем разберемся и попробуем помочь.
...
Приветствуем.
Банкомат работал исправно, ситуация возникла из-за того, что не завершили сессию. В консультациях мы озвучили вам стандартные сроки, но смогли решить вопрос быстрее и вернули вам деньги.
Мой вопрос решился достаточно быстро, уже 26 числа вечером денежные средства поступили мне обратно на мою карту. Не знаю конечно, что по итогу там произошло. Но главное, что плюсом в мою сторону. Мне не пришлось бегать по полиции, писать заявление и заводить дело, что с экономило мне достаточно времени.
Это да, но человек который забрал твои деньги, чувствуя безнаказанность, теперь может заберёт их у кого-то другого.
То есть человек ввел пин, не выполнил никакой операции, оставил открытой сессию на банкомате не нажав выход...
А виноват Тинькофф? )))
Для сравнения - я на работе захожу в личную почту и не выхожу, оставив сессию открытой. Могу ли я обвинить Гугл, что кто прочитал мои письма? Или сам дурак?