«Тинькофф» передал доступ в личный кабинет банка мошенникам, а после кражи средств встал на их сторону
Банк передал доступ в личный кабинет мошеннику, не спросив кодового слова.
А теперь подробнее:
25 и 26 июня мне поступили звонки с неизвестного номера, представившись сотрудниками банка Тинькофф.
Хочу отметить, что кодового слова и CVC кода с задней стороны карты я не называл. О самих паспортных данных обеспокоенности не было, потому что я постоянно заключаю договоры и понимаю насколько легко доступны в наше время паспортные данные.
Спустя несколько дней (29 июня) сотрудник так и не перезвонил. Я попробовал зайти в приложение Тинькофф, дабы спросить оператора в чате, но оно оказалось заблокировано. Чтобы выяснить почему, я позвонил на горячую линию в банк, где мне сообщили о мошеннических списаниях с кредитной карты (27 июня) и что сотрудник банка Тинькофф мне не звонил - выяснилось, что это мошенники.
Я зафиксировал в Тинькофф банке что произошли мошеннические операции. Мой счет заблокировали. Факт того что обращение о мошеннических операциях зафиксирован на почте письмом от Тинькофф банка.
Тинькофф банк прислал выписку об операциях. Картой кредитной я не пользовался с 20 января. Она была закрыта.
Ночью 27 июня произошли неизвестные мне операции на сумму 93005 рублей в известных магазинах в Саратове.
29 июня выяснилось, что до меня не дозвониться. Обратившись в поддержку МТС по номеру 0890, я выяснил, что мошенник 26 июня, предоставив мои паспортные данные и представившись мной, заблокировал мой номер телефона. Так как я пользуюсь двумя сим картами Билайн и МТС, я не заметил это сразу. Тут стало ясно, почему мошеннические операции с моей кредитной карты не были замечены.
Мошенник, представившись мной, позвонил с другого номера и по моим паспортным данным заблокировал мой номер телефона
Но оставался вопрос, как произошли списания с карты, если CVC я не давал? И как произошли они физически в магазинах Саратова (не онлайн), если я в это время работал в Калининграде и моя карта была у меня дома?
И тут начинается самое интересное
Абсолютно доверяя банку Тинькофф с начала 2010х годов, пользуясь им всей семьей и рекомендуя знакомым, сомнений в качестве сервиса не было. Написав заявление в полицию, я прикрепил его номер в письме банку и далее (несколько недель) стал общаться с поддержкой банка Тинькофф по переписке, чтобы выяснить как же это произошло, узнать детали, сообщить им правду все как и было и надеяться на адекватный результат.
Переписку прикрепляю. Некоторые пункты выделил зеленым цветом.
Что?
Мое устройство находилось и находится при мне в Калининграде, операции произошли в Саратове. Есть свидетели, гугл хроника, биллинг операторов, о том, что мое устройство находилось в Калининграде.
Я опешил и продолжил переписку. У меня возникло предположение, что раз злоумышленник позвонил и представился мной в МТС и заблокировал мой номер, раз операции произошли с устройства, к которому привязана карта, значит злоумышленник с такой же легкостью мог представляться мной службе поддержки Тинькофф.
Но как он это сделал без кодового слова, которое знаю только я? И для чего его тогда придумали?
Я стал задавать эти вопросы службе поддержке Тинькофф:
На что я получил информацию, что система банка все же заметила подозрительные операции, ну а далее шла формальная отписка:
Прошло 10 дней, ни ответа - ни привета.
После всех этих неконкретных ответов, терпение начало уменьшаться, я позвонил в Тинькофф и задал несколько вопросов, зафиксировав их в обращении под номером 7-7336590083966 а именно конкретно прошелся по ответам Тинькофф банка, которые я выше выделил зеленым цветом на скриншотах.
Я попросил получить официальные ответы от банка:
Цитата из письма службы поддержки Тинькофф:
Вопрос №1. С какого устройства были произведены операции?
Пояснение:
Мое устройство находилось в Калининграде, есть подтверждающие факты (гугл хроника, биллинг, свидетели)
Цитата из письма службы поддержки Тинькофф:
Вопрос №2.На какой номер отправлялся код безопасности, если в этот момент мой номер был заблокирован?
Пояснение:
Есть подтверждающая информация от операторов МТС, а также уже написана претензия и будет официальная бумага, что 26 июня неизвестное лицо позвонило в МТС и представившись мной заблокировало мой номер МТС, о том что номер заблокирован я узнал только 29 июня. В срок 26 по 29 июня были совершены мошеннические операции.
Цитата из письма службы поддержки Тинькофф:
Вопрос №3. На какие вопросы ответило третье лицо и почему банк Тинькофф не спросил кодового слова. Почему банк Тинькофф так легко передал доступ в личный кабинет мошеннику?
Цитата из письма службы поддержки Тинькофф:
Вопрос №4. Мне необходимо объяснение от банка, почему номер мошенников после сообщения о краже не был убран из базы и банк Тинькофф еще в течении нескольких недель присылал ответы на этот номер?
Почему после того как я сообщил о краже, Банк Тинькофф не удосужился позаботиться о моей безопасности, сменить номер телефона с мошеннического на мой, обратно. И после этого несколько раз присылал СМС ответы на номер мошенников и отвечал на почту, что смс не доставлено.
Это же абсурд
Сначала Тинькофф звонил и уточнял некоторые вопросы, я уже обрадовался, что дело сдвинулось, а потом, просто пришел ответ о том, что на эти вопросы мы вам не ответим, хотя косвенно, банк Тинькофф ответил на эти вопросы в переписке. А также очередной раз заученный параграф про то, что операции совершены с устройства к которому привязана карта.
В обращении я оставлял 4 вопроса, а Тинькофф банк ответил только удобным стандартным ответом.
Хотя про то, что они произошли в другом городе с устройства, к которому привязана карта, сразу же после смены контактного номера телефона, банк Тинькофф предпочитает замалчивать и не сообщает об этом. Однако, операторы мне это подтвердили во время звонка в банк
Итого получается Банк Тинькофф:
Банк Тинькофф, не спросив кодового слова и даже не уточнив паспортных данных, изменил номер телефона (без моего ведома) с моего на номер другого человека (злоумышленника), тем самым передав доступ к моим средствам.
А далее, абсолютно зная о смене номера, банк твердит о том, что операции совершены с вашего согласия, потому что вам приходил код, хотя мой номер в данный момент был заблокирован, а код приходил злоумышленнику, которому сам банк Тинькофф передал доступ.
А также, имея данные о том, что произошел факт мошенничества, о чем я упомянул в начале статьи, не позаботился о моей безопасности как клиента:(не сменил мой номера телефона обратно, который сам же и изменил на номер мошенников без моего ведома) банк Тинькофф в течении 2 недель отправлял ответы с информацией в виде СМС на номер злоумышленников, а мне отвечал что не может со мной связаться. Абсурд
Очень обидно, что доверяешь банку много лет, рекомендуешь знакомым, до последнего надеешься на справедливость и понимание, а взамен формальщина и отнекивания вместо желания разобраться в ситуации.
Теперь я отступать не намерен.
Уголовное дело о краже уже заведено. Роспотребнадзор, Центробанк, прокуратура, защита прав потребителей - я буду писать во все инстанции, дабы добиться справедливости, а также освещать это во всех возможных СМИ.
Одно дело если бы я сам перевел деньги мошенникам или потерял карту, а другое дело, когда банк передал доступ к моим деньгам другим людям.
И как после этого доверять банку?
Здравствуйте!
Мы трепетно относимся к безопасности и сохранности денег клиентов, но ваша ситуация непростая. Нам нужно время, чтобы тщательно во всем разобраться. Вскоре вернемся с подробным комментарием.
С одной стороны и правда вместе вопросом, о том, когда родился можно было бы еще и высылать код смской для проверки личности, с другой стороны это не поможет если номер украли или заблокировали.
Не мешало бы еще и почтой писать о таких серьезных операциях. Что мол, так и так, произошла такая вот история. если потвердите сейчас - сменим сразу номер, если не ответите - в течении трех дней. В общем заставлять мошенников перехватывать больше каналов общения с клиентом. это усложнит задачу. Я уж молчу о том что уже столько времени многие и я в том числе просим вас сделать TOTP-аутентификацию. Чтобы без нее вообще никак нельзя было зарегистрироваться или войти в личный кабинет с нового устройства. А сброс этого параметра скажем только по фотке с паспортом и написанной датой на листочке. короче в таких случаях бы паранойи побольше не мешало бы.
Это эффективные методы, но относительно дорогие для банка и неудобные для среднестатистического клиента. Существуют более эффективные, удобные и недорогие, но непохоже что у банка есть к ним интерес.
Среднестатистические могут продолжать терять деньги. Я о себе забочусь. Для меня очевидно что все эти пуши и смски штука крайне ненадежная на фоне TOTP.
Так и банк о своей выгоде заботится, поэтому без среднестатистических клиентов ему не обойтись. Он не будет пилить фичу, которой мало кто воспользуется, так как расходы не окупятся.
я совершенно точно ничего не понимаю, но TOTP не так уж чтобы и "пилить" надо будет. полно готовых реализаций на любых языках. В любом случае сегодня в любом банке ты живешь с чувством что обокрасть тебя - раз плюнуть. неужели трудно присылать оповещения о чувствительных операциях на email? это тоже пилить тяжело?
А выгода банка с кредитами на левых людей очевидна - большинство повздыхает, повздыхает, да начинает возвращать украденные у них деньги банку.
Даже готовые реализации придётся проверять, внедрять, тестировать, а это время и деньги. Кроме того, реализация других задач затянется. Про выгоду с кредитов согласен. В общем для банка одни издержки. Зачем это ему?
но если этого не делать, то ситуация не улучшится. думаю, что рано или поздно кто-то сделает безопасность своим приоритетом и будет рекламировать это как свое преимущество, разрешив пользователю самому выбирать между способами защиты своих денег.
Плюсую. Дали бы выбор. Хочешь просто и быстро заходить в личный кабинет - рискуй быть обманутым. Не лень поковыряться и подождать каких то операций ради безопасности - включай дополнительную защиту. Как двухфакторная аутентификация.
Это давно сделано. Уралсиб и Авангард предоставляют своим клиентам аппаратные генераторы одноразовых кодов, если ничего не поменялось.
У Авангарда смм-шика видимо нет, уже в каждом топике про них вспоминают, могли бы и зарегаться на vc.
Да они в принципе никогда активно не продвигались, а та же дебетовая карта для физлиц насколько помню у них до выпуска подтверждается службой безопасности (т.е. теоретически могут просто отказать в выдаче карты)
Им это не надо.
Только пользоваться Уралсибом - это отдельное извращение, да и нажуливают они так, что даже альфе со сбером не снилось.
Могли бы вы рассказать подробнее, либо дать ссылку?
А то подумываю над тем, чтобы дебетовую карту у них завести.
На кой они нужны, если есть Google Authenticator? Бессмысленная трата денег.
Комментарий недоступен
Про Google Authenticator забудьте. Был момент по поводу криптовалюты. Привязал несколько бирж с этой защитой, после утери телефона, нет доступа ВООБЩЕ чтобы восстановить.
Сейчас вроде сделали возможность бэкапа
После плачевного опыта. Не хочется сталкиваться дважды.
Кто мешал самому забекапить?
Вообще нет проблем - есть код каждого TOTP-аккаунта (числовое представление QR-кода), его можно хранить в сейфе напечатанным или в любом парольном менеджере. По коду восстанавливается аккаунт на любом устройстве и в любом приложении.
Комментарий недоступен
Ну на фоне общего количества людей, страдающих от такого вида мошенничества, это было бы неплохим конкурентым преимуществом, которое потенциально может привести новых клиентов и плюс в репутацию.
Не обязательно, если сделать это киллер фичей.
Например в телеграмме есть шифрование, но 99.9% пользователей оно вообще не нужно. А вот сказать всем "вайбер и ватсап фуфло, а мы такие умнички" уже можно.
Комментарий недоступен
Спасибо за обратную связь, мы ее обязательно посмотрим.
Тинькофф, учтите, что кодовое слово сейчас уже не такое кодовое. Вот буквально сейчас вспомнил, что такое кодовое слово у меня стояло и в других банках и подозреваю, что у многих людей оно тоже уже было использовано в других местах. Пора бы вам уже что-то новое придумать в виде подтверждения через лицо в камере телефона, паспорт, Email, банкомат с лицом, фото с паспортом в руках и датой. Много раз видел автоматизированную систему распознавания данных на паспорте. Да хоть комбинировать эти способы, лишь бы проверка данных, которые нельзя подделать или узнать по телефону
Фото с паспортом - это очередная дыра утечки персональных данных
Паспорт бумажный это говно, по фото определять тоже говно, так как можно эмулировать камеру, типа если есть какой-то датчик его значения всегда можно подделать.. Вот логику работы сотовых операторов нужно менять, чтобы было невозможно оформить симку на другого человека без его ведома, должна приходить СМС на старый номер, а также должен быть ресурс где в один клик можно было бы проверить все открытые и закрытые СИМки.. И чтобы не фоткать паспорт и не сканировать его по фотке можно было бы и электронные паспорта сделать параллельно бумажным, хотя основная проблема конечно в сотовых операторах, так как по сути СИМка это и есть электронный паспорт.
Это уже есть. Клиент сам выбирает, использовать такой тип подтверждения или нет.
Блокировал как-то свою карту по подозрению. Позже звонил им, чтобы сделать перевыпуск. Очень удивило, что они не запросили моего фото с паспортом, а лишь спросили данные. Кодовое слово я назвал неверное, после чего они задали пару простых вопросов и Сами! Предложили сменить кодовое слово. На мой вопрос почему с меня не просят моё фото с моим паспортом, а верят на слово, они ответили, что так делают лишь с клиентами у кого ограничения на слух зрение, голос. В остальных случаях всё просто. Все , все контрольные вопросы показались ооочень простыми и после этого мне прислали новую карту. М-да....