{"id":14106,"url":"\/distributions\/14106\/click?bit=1&hash=5b1c362bb484a3a1cce6bca3456d67fbaba6c95569816bec34c5a85ebfa3d189","title":"\u041a\u0430\u043a \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 ","buttonText":"","imageUuid":""}

«Тинькофф» передал доступ в личный кабинет банка мошенникам, а после кражи средств встал на их сторону

Банк передал доступ в личный кабинет мошеннику, не спросив кодового слова.

А теперь подробнее:

25 и 26 июня мне поступили звонки с неизвестного номера, представившись сотрудниками банка Тинькофф.

Скриншот заявления в полицию

Хочу отметить, что кодового слова и CVC кода с задней стороны карты я не называл. О самих паспортных данных обеспокоенности не было, потому что я постоянно заключаю договоры и понимаю насколько легко доступны в наше время паспортные данные.

Спустя несколько дней (29 июня) сотрудник так и не перезвонил. Я попробовал зайти в приложение Тинькофф, дабы спросить оператора в чате, но оно оказалось заблокировано. Чтобы выяснить почему, я позвонил на горячую линию в банк, где мне сообщили о мошеннических списаниях с кредитной карты (27 июня) и что сотрудник банка Тинькофф мне не звонил - выяснилось, что это мошенники.

Я зафиксировал в Тинькофф банке что произошли мошеннические операции. Мой счет заблокировали. Факт того что обращение о мошеннических операциях зафиксирован на почте письмом от Тинькофф банка.

Письмо от Тинькофф банка, что обращение о мошеннических операциях зафиксировано

Тинькофф банк прислал выписку об операциях. Картой кредитной я не пользовался с 20 января. Она была закрыта.

Ночью 27 июня произошли неизвестные мне операции на сумму 93005 рублей в известных магазинах в Саратове.

Выписка об операциях кредитной карты. Последние операции были 20 января, далее кредитный лимит карты была закрыт и я ей не пользовался.

29 июня выяснилось, что до меня не дозвониться. Обратившись в поддержку МТС по номеру 0890, я выяснил, что мошенник 26 июня, предоставив мои паспортные данные и представившись мной, заблокировал мой номер телефона. Так как я пользуюсь двумя сим картами Билайн и МТС, я не заметил это сразу. Тут стало ясно, почему мошеннические операции с моей кредитной карты не были замечены.

Детализация разговоров моего номера, в которой видно, что последнее смс произошло 26.06.2021 в 15:30:16, а следующий разговор 29.06.2021 в 18:21:00

Мошенник, представившись мной, позвонил с другого номера и по моим паспортным данным заблокировал мой номер телефона

Но оставался вопрос, как произошли списания с карты, если CVC я не давал? И как произошли они физически в магазинах Саратова (не онлайн), если я в это время работал в Калининграде и моя карта была у меня дома?

И тут начинается самое интересное

Абсолютно доверяя банку Тинькофф с начала 2010х годов, пользуясь им всей семьей и рекомендуя знакомым, сомнений в качестве сервиса не было. Написав заявление в полицию, я прикрепил его номер в письме банку и далее (несколько недель) стал общаться с поддержкой банка Тинькофф по переписке, чтобы выяснить как же это произошло, узнать детали, сообщить им правду все как и было и надеяться на адекватный результат.

Переписку прикрепляю. Некоторые пункты выделил зеленым цветом.

Не получится вернуть деньги за операции, потому что их сделали устройством, к которому была привязана карта

Что?

Мое устройство находилось и находится при мне в Калининграде, операции произошли в Саратове. Есть свидетели, гугл хроника, биллинг операторов, о том, что мое устройство находилось в Калининграде.

Я опешил и продолжил переписку. У меня возникло предположение, что раз злоумышленник позвонил и представился мной в МТС и заблокировал мой номер, раз операции произошли с устройства, к которому привязана карта, значит злоумышленник с такой же легкостью мог представляться мной службе поддержки Тинькофф.

Но как он это сделал без кодового слова, которое знаю только я? И для чего его тогда придумали?

Я стал задавать эти вопросы службе поддержке Тинькофф:

На что я получил информацию, что система банка все же заметила подозрительные операции, ну а далее шла формальная отписка:

Прошло 10 дней, ни ответа - ни привета.

СМС отправлено на номер телефона, который указан в нашей системе. Третье лицо ответило на все дополнительные вопросы, при этом паспортные данные не уточнялись
Код безопасности, который отправляется только вам...

После всех этих неконкретных ответов, терпение начало уменьшаться, я позвонил в Тинькофф и задал несколько вопросов, зафиксировав их в обращении под номером 7-7336590083966 а именно конкретно прошелся по ответам Тинькофф банка, которые я выше выделил зеленым цветом на скриншотах.

Я попросил получить официальные ответы от банка:

Цитата из письма службы поддержки Тинькофф:

Не получится вернуть деньги за операции, потому что их сделали устройством, к которому была привязана карта. Доступ к устройству должен быть только у вас, поэтому такие операции считаются совершенными с вашего согласия.

Тинькофф

Вопрос №1. С какого устройства были произведены операции?

Пояснение:

Мое устройство находилось в Калининграде, есть подтверждающие факты (гугл хроника, биллинг, свидетели)

Цитата из письма службы поддержки Тинькофф:

Оспариваемые операции совершены с помощью устройства к которому была привязана карта, чтобы привязать карту нужно войти в мобильный банк или знать данные карты и код безопасности, который отправляется только вам.

Тинькофф

Вопрос №2.На какой номер отправлялся код безопасности, если в этот момент мой номер был заблокирован?

Пояснение:

Есть подтверждающая информация от операторов МТС, а также уже написана претензия и будет официальная бумага, что 26 июня неизвестное лицо позвонило в МТС и представившись мной заблокировало мой номер МТС, о том что номер заблокирован я узнал только 29 июня. В срок 26 по 29 июня были совершены мошеннические операции.

Цитата из письма службы поддержки Тинькофф:

Третье лицо ответило на все дополнительные вопросы, при этом паспортные данные не уточнялись.

Тинькофф

Вопрос №3. На какие вопросы ответило третье лицо и почему банк Тинькофф не спросил кодового слова. Почему банк Тинькофф так легко передал доступ в личный кабинет мошеннику?

Цитата из письма службы поддержки Тинькофф:

СМС отправлено на номер телефона, который указан в нашей системе. Вижу, что оператор не доставил сообщение.

Тинькофф

Вопрос №4. Мне необходимо объяснение от банка, почему номер мошенников после сообщения о краже не был убран из базы и банк Тинькофф еще в течении нескольких недель присылал ответы на этот номер?

Почему после того как я сообщил о краже, Банк Тинькофф не удосужился позаботиться о моей безопасности, сменить номер телефона с мошеннического на мой, обратно. И после этого несколько раз присылал СМС ответы на номер мошенников и отвечал на почту, что смс не доставлено.

Это же абсурд

Сначала Тинькофф звонил и уточнял некоторые вопросы, я уже обрадовался, что дело сдвинулось, а потом, просто пришел ответ о том, что на эти вопросы мы вам не ответим, хотя косвенно, банк Тинькофф ответил на эти вопросы в переписке. А также очередной раз заученный параграф про то, что операции совершены с устройства к которому привязана карта.

В обращении я оставлял 4 вопроса, а Тинькофф банк ответил только удобным стандартным ответом.

Хотя про то, что они произошли в другом городе с устройства, к которому привязана карта, сразу же после смены контактного номера телефона, банк Тинькофф предпочитает замалчивать и не сообщает об этом. Однако, операторы мне это подтвердили во время звонка в банк

Итого получается Банк Тинькофф:

Банк Тинькофф, не спросив кодового слова и даже не уточнив паспортных данных, изменил номер телефона (без моего ведома) с моего на номер другого человека (злоумышленника), тем самым передав доступ к моим средствам.

А далее, абсолютно зная о смене номера, банк твердит о том, что операции совершены с вашего согласия, потому что вам приходил код, хотя мой номер в данный момент был заблокирован, а код приходил злоумышленнику, которому сам банк Тинькофф передал доступ.

А также, имея данные о том, что произошел факт мошенничества, о чем я упомянул в начале статьи, не позаботился о моей безопасности как клиента:(не сменил мой номера телефона обратно, который сам же и изменил на номер мошенников без моего ведома) банк Тинькофф в течении 2 недель отправлял ответы с информацией в виде СМС на номер злоумышленников, а мне отвечал что не может со мной связаться. Абсурд

Очень обидно, что доверяешь банку много лет, рекомендуешь знакомым, до последнего надеешься на справедливость и понимание, а взамен формальщина и отнекивания вместо желания разобраться в ситуации.

Теперь я отступать не намерен.

Уголовное дело о краже уже заведено. Роспотребнадзор, Центробанк, прокуратура, защита прав потребителей - я буду писать во все инстанции, дабы добиться справедливости, а также освещать это во всех возможных СМИ.

Одно дело если бы я сам перевел деньги мошенникам или потерял карту, а другое дело, когда банк передал доступ к моим деньгам другим людям.

И как после этого доверять банку?

0
898 комментариев
Написать комментарий...
Тинькофф

Добрый день!

Мы подробно еще раз разобрали ситуацию, проверили все звонки и другие данные, возвращаемся с ответом, как и обещали.

26.06.2021 в 19:15 поступил звонок на нашу линию от вашего имени, звонивший знал ответы на все вопросы, включая кодовое слово и ваши паспортные данные.
Он ответил правильно на все вопросы оператора, назвал кодовое слово и попросил заменить мобильный номер в системе, после чего мы отправили сообщение об этом на предыдущий номер. Судя по всему, к этому времени старый номер уже был заблокирован, поэтому вы не получили уведомление.

После этого, судя по логам, в 20:24 мошенник попытался зайти в личный кабинет с нового устройства, ему это сделать не удалось. Поэтому он еще раз связался уже в 22:15, снова прошел идентификацию с кодовым словом и другими данными и залогинился в личном кабинете.

Еще раз подчеркнем, что обратившийся знал ответы на все вопросы, кодовое слово и паспортные данные, поэтому ему удалось убедить оператора в том, что тот разговаривает с клиентом.

Ответить
Развернуть ветку
George Mertsalov

На мой взгляд это очевидная дыра в безопасности. Человек, который голосом может ответить на какие-то вопросы обо мне может быть мной, а может не быть мной.

Номер паспорта и девичья фамилия матери - это не суперсекретная информация, её довольно легко добыть. Правильно ли я понял что вы отдадите мои деньги любому кто это назовёт? Это какой-то способ аутентификации из 18 века, даже подпись не надо подделывать.

Ответить
Развернуть ветку
9 комментариев
Олег Растин

Зачем вы обманываете? Я позвонил так же и попросил скинуть пароль, потому что забыл свой, а форму ответа на один из контрольных вопросов забыл. Спрашивали только паспортные данные. Никаких ответов на контрольные вопросы. Да и вы хотите сказать, что они у вас в открытом виде хранятся? Тогда какой в них смысл, если сотрудник банка может их украсть и продать? Вы что?
Все контрольные вопросы старые удалили, прислали новый пароль на номер телефона по смс. Я аж охренел, что все так просто. Был рад, что смог восстановить доступ, ибо нужно было срочно операции проводить. Про себя я подумал (хотел верить), что меня таки любимый банк опознал и не стал мучать. Но дырень просто гигантская

Ответить
Развернуть ветку
2 комментария
Владимир Маханьков
Автор

Когда в один из последних разговоров по телефону с вашей службой поддержки я менял номер телефона с номера мошенников обратно на свой, для идентификации личности ваш оператор помимо паспортных данных, задал мне дополнительные вопросы, ответы на которые находятся в любой моей биографии как художника, буклетах и в социальных сетях в открытом доступе. Допустим. Я и не задумывался о том, что эта всю жизнь общедоступная информация защищает мои деньги. Но откуда мошенники знали кодовое слово, если я его им не называл для меня большой вопрос. Нужно это выяснить. А это уже действительно сможет выяснить только полиция. Пусть поднимает все мои переписки, смотрит где я находился, с кем общался, я готов отвечать перед судом, потому что мне нечего скрывать. Одно заявление я уже оставил о краже, мошенника ищут. А чтобы выяснить вопрос с деньгами и правду ли вы говорите придется решать это через суд, так как вы мне такой информации (как запись разговора "как бы меня" с операторами банка) предоставить не можете, как я понимаю. 

Ну, а так же вы не ответили на вопрос
Почему после сообщения о краже с моей карты вы не сменили на мой обратно? 

Ответить
Развернуть ветку
10 комментариев
Николай Грин

Ответ вашего же саппорта из аналогично кейса, там вы даже кодовое слово не спросили.

Мы стараемся задавать вопросы, на которые посторонние не смогут ответить. Кодовое слово спрашиваем не всегда.

Какое же вы дно. Вместо того, что бы сменить дырявый алгоритм пытаетесь оправдаться.

ЗЫ
У вас, кстати, личные данные клиентов банка торчат в паблик. Я сообщал вам несколько месяцев назад - вы забили хер. Теперь уже они индексируются гуглом...

Ответить
Развернуть ветку
2 комментария
Xxx Xxx

Так а деньги то за свой косяк вы не хотите вернуть обратно? Ваша дыра в безопасности, вы не сделали нормальную систему, при которой такая ситуация не могла иметь места. Биометрия, банальное предложение пройти верификацию через банкомат. Где все это? Господи, да на край можно было хотя бы узнать откуда звонит человек по новому номеру и потом сверить с последним местоположением/ip адресом клиента, которое у вас есть, так как он пользуется вашим приложением. 

Ответить
Развернуть ветку
4 комментария
Mike Ross

Здесь же банк онлайновый , секундочку , смена Номера , у вас отображается номер звонившего? Если да , то самое верное 1 -послать снова смс , 2 попросить позвонить ТОГО Номера чем сначала закреплён , то есть выходит ЛЮБОЙ человек зная какие то данные , паспорт уже не проблема знать. Мы где только не оставляем , в отелях и различных заявках, кодовое слово да, хороший вариант и по сути последний рубеж обороны, но при должной социальной инженерии и догадаться несложно, меня удивило что по логам смс не доставлено вы все равно поменяли номер телефона.

Ответить
Развернуть ветку
6 комментариев
Konstantin Usachev

Любые личные данные не проблема найти/купить. К кодовому слову имеют доступ сотрудники банка, а значит оно тоже может легко оказаться у мошенников. Подскажите (мне правда интересно и это не троллинг), как железобетонно защитить свои деньги в вашем банке от ситуации, которая описана в статье?

Ответить
Развернуть ветку
16 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
John Brown

"звонивший знал ответы на все вопросы, включая кодовое слово и ваши паспортные данные." - не стыкуется с ответом банка от 20.07, в котором утверждается, что паспортные данные не уточнялись.
Не поясните ещё, плз, про кодовое слово? Реально его было угадать (догадаться) или ТС его все же где-то попалил?
Интересуюсь, потому что тоже являюсь давним клиентом ТБ и тоже задумался, могут ли меня так же поиметь.

Ответить
Развернуть ветку
3 комментария
Артём Матьков

В чём проблема прикрутить блокировку всех операций из приложения на 24 часа при смене номера\устройства, с согласия клиента? Карты при этом никуда не денутся. Я задал такой вопрос поддержке в чате - сказали, что я чуть ли не единственный, кому это вдруг понадобилось, что средства клиентов под надёжной защитой(агада), поэтому нет смысла в таком функционале. Может хотя бы возьмёте на заметку, м?

Ответить
Развернуть ветку
5 комментариев
Максим Сивцов

Подтвердить это может, только аудио запись разговора. Иначе это просто слова 

Ответить
Развернуть ветку
Николай Кычкин

Тинькофф вам идея.. Можно сделать услугу которую можно активировать в приложении, запрет вывода в наличные подозрительных операций, если например автор статьи поставил бы галочку на такую услугу, то тогда у вас было бы больше времени на расследование пока деньги у злоумышленника..

Ответить
Развернуть ветку
10 комментариев
Николай Кычкин

Тинькофф вам идея, почему бы не сделать функцию заморозку вывода в наличные подозрительных операций, если бы автор данной статьи например поставил галочку на такую услугу, то у вас было бы еще время на расследование пока деньги у злоумышленника..

Ответить
Развернуть ветку
1 комментарий
Наталия Иванова

Позорники!!!

Ответить
Развернуть ветку
5 комментариев
animegravitation

а почему ваш антифрод не отработал на то что было сменено устройство? и та карта с которой платил злоумышленник была добавлена импортом из мобильного приложения или как ? 

Ответить
Развернуть ветку
1 комментарий
Nikolay Vandau

Ну что за козлы…

Ответить
Развернуть ветку
AAY

Ну так ваш же сотрудник и позвонил и конечно он знал все нужные ответы из профиля вашего клиента.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
6 комментариев

Комментарий удален модератором

Развернуть ветку
Alex Fedoryakov

Предоставьте запись телефонного разговора что были ответы на все аопросы в том числе и на кодовое слово

Ответить
Развернуть ветку
MrDimly

Предоставьте клиенту и ментам запись разговора с мошенником. Это просто и докажет знал ли мошенник кодовое слово или вы врете и ничего у него не спросили. Записи вы обязаны хранить по закону - не надо врать что их нет или утеряны

Ответить
Развернуть ветку
2 комментария
Андрей Гуртовой

вот вопрос:
вы один из известных банков, а фрод-мониторинга у вас совсем нет?
Или смена телефонного номера и затем покупки продуктов в кредит на сумму выше 20тыщ рублей в Саратове это типичное поведение ваших клиентов?

Ответить
Развернуть ветку
Артем Тутынин

Предоставьте человеку запись разговора, будет голос мошенника и вы сможете подтвердить что мошенник называл кодовой слово, а так ваша отписка всего лишь вода

Ответить
Развернуть ветку
азат янбухтин

.

Ответить
Развернуть ветку
Al'Tair Usmanov

Вроде как Звонок записывается при обращении в колл центр, послушать запись, какие вопросы задавали что ответил мошенник

Ответить
Развернуть ветку
fox

Вы же говорили что есть киллер фича как идентификация по голосу

Ответить
Развернуть ветку
Кирилл Стрельцов

а вы задавайте такие вопросы на которые не все знают ответы. по тинькофф мобайл кодовое слово вы никогда не спрашиваете. в банке - тоже не часто. 
очень много историй как ваши сотрудники считают что разговаривают с клиентом и дают доступы везде и без проблем ( даже после случаем мошенникчества как было у меня)  а нафига вам информация по номеру телефона клеинта, его устройству, голосу, геолокации?

Ответить
Развернуть ветку
Николай Грин

Ответ Тинькофф по аналогичному случаю

мошенник обратился к нам и ответил на все идентификационные вопросы. Вопросы могут быть разные и они постоянно меняются, то есть нельзя два раза подряд позвонить и узнать какие будут вопросы в следующий раз. Исходя из этого, можем сказать, что у мошенника довольно много информации о вас. После этого, мошенник поменял кодовое слово

Достаточно знать немного информации о вас(узнать ваш паспорт и соцсети) и Тинькофф сменит ваш номер на номер мошенника, после чего он войдет в приложение и будет управлять вашим счетом. Кодовое слово он сменит, позвонив с привязанного номера в поддержку.

Но ваш оказался немного хитрее, он заблочил основной номер MTC, что бы вы не получали уведомлений. Но как показывает практика, это можно и не делать )) В прошлом кейсе, мошенник сменил кодовое слово, а когда владелец вернул управление счетом, Тинькофф оставил кодовое слово мошенника действующим и тот вернул управление счета снова себе )) и украл средства повторно )) 

Все это давно решено в других банках - смена номера только после ввода кода пришедшего на старый номер или через банкомат с авторизацией через действующую карту.

Тинькофф в курсе. Им насрать. Вы не первый и не последний
 

Ответить
Развернуть ветку
Mikhail Che

Я бы еще добавил, что в этом случае надо не просто подавать заявление в полицию, но и подавать в суд на Тинькофф о признании их ответственными за дырявую систему безопасности.

Ответить
Развернуть ветку
28 комментариев
Paul Patlakh

Банки в целом не поспевают за мошенниками. Очевидно же, что смс коды уже не являются надёжным способом защиты.

Ответить
Развернуть ветку
33 комментария
ден к

В суд обращайся не тяни.они чуть что бегут, так и ты не жди. 

Ответить
Развернуть ветку
12 комментариев
Кирилл

Дыра в безопасности - это печально, конечно. Неприятная история.

А автор подарил данные мошенникам. Не известно, какие. Тоже, как бы, не самый умный поступок.

Ответить
Развернуть ветку
16 комментариев
Spirit of the Sun

Вот блин. Никогда не писал комментарии к подобным статьям. Но тут прям бомбонуло. Да хватит уже Тинькофф поносить! Каждый день новая статья о том, как хреново банк работает, или денег отнял, или обманул кого, или ещё чего. Возьмитесь рассказывать про Сбербанк к примеру! А, что, нет? Сбербанк первый банк страны? Его нельзя просто так грязью поливать? Хотя этой грязи у банка не мерянно. А Тинькофф главный конкурент главного банка страны. И по этому, через не лепые статьи необходимо отбить у него всех потенциальных клиентов, и пока они не одумальэись подсадить на иглу Сбера... Удачи вам. Я и все мое окружение пользуемся услугами банка Тинькофф, и скажу вам за 10 лет не было ни единого раза, ни у кого, что бы банк сделал что-то не так по отношению к клиенту. Не с физическим лицом, ни с юридическим. Чего не могу сказать о главном банке страны. 
 Вообщем прекращайте писать глупые статьи.

Ответить
Развернуть ветку
8 комментариев
tommyspb
Достаточно знать немного информации о вас (узнать ваш паспорт и соцсети) и Тинькофф сменит ваш номер на номер мошенника

Недостаточно. Менял номер — там гоняют в хвост и в гриву вопросами, которые можно узнать только уже имея доступ к ЛК.

Ответить
Развернуть ветку
5 комментариев
Саша Поройков

я не понимаю как можно помять кодовое слово не зная изначального слова.я не защищаю банк ,но не ясно , у самого две карты тиньков кредитка и блэк и два телефона (соответственно с разными номерами), карты подключены к google pay и apple pay смс уведомления отключены ,приходят push уведомления на оба телефона о платежах и тратах и на обоих мобильный банк.Можно украсть gmail и тогда востановить на другом телефоне google pay но не уверен что можно без смс подтверждения ,и потом какой дурак ))) попрётся в dns с ворованой картой там же камеры везде натыканы,и на покупку в размере 59000 нужен скорее всего пин да же с устройства а его можно отключить зная его или попросту знать ,узнать его по телефону не получиться.

Ответить
Развернуть ветку
2 комментария
Nikolay Smirnov

Sms - у оператора заказывают новую симку. Касаемо подтверждения через банкомат - украсть номер карты и пин очень просто. Так что ваши идеи , скажем прямо - не защитят

Ответить
Развернуть ветку
6 комментариев
Саша Поройков

Как поменять кодовое слово не зная кодого слова изначального?)) 

Ответить
Развернуть ветку
1 комментарий
Sveta Glukh

Не возвращайте банку эти деньги и идите в суд!

Ответить
Развернуть ветку
Юлия Б

"смена номера только после ввода кода пришедшего на старый номер или через банкомат с авторизацией через действующую карту." - это разве решено?
Решено это с заявлением в отделение лично

Ответить
Развернуть ветку
Paul Patlakh

Когда банки добавят в свои приложения возможность включить двухфакторную аутентификации через генератор временных кодов, на определённые действия в приложении? Видно же что получить доступ к приложению уже не такая уж большая проблема для мошенников. А зайдя в приложение уже можно легко провести любую операцию, снять лимиты и тд.

Ответить
Развернуть ветку
Jay Green

С точки зрения безопасности, двухфакторная это как минимум 2 разных устройства. 
Если устройство одно и тоже, это в любом случае однофакторная.

Ответить
Развернуть ветку
10 комментариев
color
Когда

А никогда. Релиз таких фич в продакшн это пара сотен часов программистов и инженеров, потом еще всяких тестеров и UIщиков.
И пользоваться этим будут ЕДИНИЦЫ.

Формула на самом деле простая - пока расходы на damage control меньше стоимости реализации, никто не будет делать. Типичная юнит экономика.

Ответить
Развернуть ветку
2 комментария
Кирилл Стрельцов

может некоторые банки так специально делают чтобы воровать деньги клиентов?

Ответить
Развернуть ветку
2 комментария
Денис Николаев

Биометрия мне кажется помогла бы. Но такая, которая хранится не в телефоне, а централизованно на сервере. Проблема в том, что если банк принудительно это включит, то набегут всякие антипрививочники и любители сжигать вышки 5G

Ответить
Развернуть ветку
3 комментария
Sergey Bespalov

Появится куча людей потерявших доступ к otp генератору. У тинькова нет офисов, поэтому отвязывать от otp так же будут по телефону, это же прогрессивно и современно.

Ответить
Развернуть ветку
1 комментарий
Андрей Геращенко

Ни кого не защищаю, но в 2021 году надо уже иметь себе за правило, что если тебе звонит некий номер и представляется сотрудником банка, а затем просит продиктовать какие-либо личные данные, то это повод сразу прекратить разговор и самому перезвонить на официальный номер банка

Ответить
Развернуть ветку
Миша Магадан
если тебе звонит некий номер и представляется сотрудником банка

то это повод сразу прекратить разговор. Не имеет значения, настоящий это сотрудник или нет.

Ответить
Развернуть ветку
9 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Александр Трофимов

А зачем прекращать? Я обычно левые данные говорю... Ну, первые 4 цифры с карты, а дальше цифры с карты пятерочка, например. Играю из себя жертву, развлекаюсь... У меня обычно времени много.

Ответить
Развернуть ветку
Artem Omny

Вот по этой причине пользоваться банком без офиса и другим советовать, да ещё и тем, про который новости про глюки каждую неделю - дурная затея

Ответить
Развернуть ветку
Denis Kite

Фиксирую... автор ты точно с той стороны баррикад?))

- Здравствуйте. СБ Сбера. Вы свой финансовый номер изменяли две недели назад?
Я. -Что за финансовый номер?
М.- Это номер который привязан к вашему счёту?
Я.- Да, изменял.
М. - Фиксирую.
Вот именно этого момента Я ждал, именно эти слова.
Я.Хуй во рту у себя зафиксируй.
Обиделся на меня. Да и словарный запас слабоват. Не умеет ругаться.

Ответить
Развернуть ветку
Виталий Александров

"-хуй у себя во рту зафиксируй",бугагагагагага)))))99 уровень троллинга.

Ответить
Развернуть ветку
Даниил Крамаренко

Пикабу тоже здесь)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александр Колодин

В данном случае "финансовый номер" уже 100%-й сигнал

Ответить
Развернуть ветку
Тинькофф

Здравствуйте!
Мы трепетно относимся к безопасности и сохранности денег клиентов, но ваша ситуация непростая. Нам нужно время, чтобы тщательно во всем разобраться. Вскоре вернемся с подробным комментарием.

Ответить
Развернуть ветку
Sergey Klochko

С одной стороны и правда вместе вопросом, о том, когда родился можно было бы еще  и высылать код смской для проверки личности, с другой стороны это не поможет если номер украли или заблокировали.
Не мешало бы еще и почтой писать о таких серьезных операциях. Что мол, так и так, произошла такая вот история. если потвердите сейчас - сменим сразу номер, если не ответите - в течении трех дней. В общем заставлять мошенников перехватывать больше каналов общения с клиентом. это усложнит задачу. Я уж молчу о том что уже столько времени многие и я в том числе просим вас сделать TOTP-аутентификацию. Чтобы без нее вообще никак нельзя было зарегистрироваться или войти в личный кабинет с нового устройства. А сброс этого параметра скажем только по фотке с паспортом и написанной датой на листочке. короче в таких случаях бы паранойи побольше не мешало бы.

Ответить
Развернуть ветку
30 комментариев
Руслан Соколов

Как и автор, активно пользуюсь вашим банком (в т.ч. и брокером), перевел к вам всю семью.
Если ситуация автора позитивно не разрешится, будем рассматривать вариант перехода в другой банк.
По факту ваша СБ проявила себя некомпетентно, говоря мягко.
Техническая поддержка и вовсе не пытается разобраться в проблеме, отвечая шаблонно.
Где гарантии что завтра такое не произойдет с кем-то ещё?

Ответить
Развернуть ветку
7 комментариев
S8dAS

Аллё, банк, в чём дело? 
У вас идентификация звонившего по голосу уже несколько лет. А вы сливаете чужие бабки мошеннику. 
Так может это сговор и сотрудник банка в доляшке сладкой? 

Ответить
Развернуть ветку
8 комментариев
Андрей Шевчук

Пришла в голову вот какая идея: кодовое слово банка. При звонке клиенту оператор говорит кодовое слово, клиент может проверить его в приложении (оно своё для каждого клиента и меняется, скажем, каждые 5 минут), и тогда клиент может быть уверен, что говорит именно с представителем банка, а не с мошенником. Такой TOTP в обратную сторону : )

Ответить
Развернуть ветку
12 комментариев
Миша Магадан
Нам нужно время, чтобы тщательно во всем разобраться. Вскоре вернемся с подробным комментарием.

получается, пока ТС сюда не написал, ТКС вообще не занимался выяснением, что там случилось?

Ответить
Развернуть ветку
2 комментария
Vladimir

Не запросив пинкода, дат карты, вы не имеете права говорить:

Мы трепетно относимся к безопасности и сохранности денег клиентов

Подозреваю, что ситуация закончится возвратом средств, но вам ребята необходимо обновлять правила смены контактного номера или любых других критически важных.

Ответить
Развернуть ветку
28 комментариев
Максим

Когда-то давно восстановить доступ в ИБ можно было только по номеру основной карты. Трепетно относящиеся к своим деньгам клиенты держали эту карту в сейфе, пользуясь допками и нигде не светя её номер. Вы это давно уничтожили, хотя чего проще - в настройках всех карт добавить переключатель, разрешающий использовать её для восстановления доступа. И пусть он по умолчанию будет включен для тех, кого это не тревожит. Вас об этом просят много лет, но вам до этого нет дела. Более того, до последнего времени существовала возможность запретить вход в ИБ по номеру телефона. Недавно вы и это похоронили. Рассказывайте дальше насколько вы озабочены безопасностью средств клиентов.

Ответить
Развернуть ветку
Миша Магадан
Мы трепетно относимся к безопасности и сохранности денег клиентов, но ваша ситуация непростая.

вот (тут кстати попалось) как действует в похожей "непростой" ситуации один сервис, которому не плевать на своих клиентов: 
 

Ответить
Развернуть ветку
boomzilla

Лично я жду от Тинька пост со всеми вот этими обещаниями разобраться и результатами выполнения этих обещаний. А то вы один и тот же комментарий оставляете и скорее всего продолжаете класть болт на проблемы. 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ne01100001001

Напрягает данная история, только перешел на вашу карту, жду развязки или буду снова менять банк на аналог.

Ответить
Развернуть ветку
1 комментарий
Dmitriy Nikitin

Оффтоп. Было бы интересно почитать статью о мошенниках со стороны банка - ведь каждый день наверняка куча хитрожопых бездельников пытаются нагреть и банк и клиентов. Или были такие стать от банков? Ткни плиз, если есть.

Имхо вся тупка с этим "ну это вы сами сделали" идет от мошенников, которые вряд ли пишут статьи о том как в очередной раз им не удалось прогнуть банк. На мой взгляд это было бы куда полезнее очередных банальных рекомендаций "никому ничего не сообщайте, перезвоните в банк, бла бла бла"

Ответить
Развернуть ветку
Johnny Vorony

Не звездите. У вас дырявая безопасность и медленные разработчики, которые не могут закрыть эти дыры. Наслышан.

Ответить
Развернуть ветку
Zloe Aloe

Огромная дыра в безопасности клиентов банка

Ответить
Развернуть ветку
Вершина Эволюции

Вы же уже подробно послали его платить кредит. И не собираетесь оспаривать эти операции

Ответить
Развернуть ветку
Alexandr Mikheev

А токен на телефон пользователя? Как бухгалтерам в фирмах. Электронная подпись. Тогда симку на чужое устройство не поставишь. 

И есть же ещё с 90-х шифрование для электронной почты когда один кусок ключа у одного, второй у другого. Как купюра неровно порванная пополам.

Тогда звони не звони с поддельного номера - своей части ключа - нет. Хоть "из банка", хоть псевдоклиент в банк...

Ответить
Развернуть ветку
Jay Green

подожду ответа тут

Ответить
Развернуть ветку
Andrey Kolkov

Я думаю сначала нужно возвращать деньги клиенту, а уже потом во всем разбираться. Тогда у банка будет веский стимул.
А вот по итогом разборок если клиент кажется не прав, то тогда на клиента подавать в суд и пробовать выиграть дело.

Ответить
Развернуть ветку
1 комментарий
Кирилл Стрельцов

ахахаха вы поэтому на меня 10 займов взяли?

Ответить
Развернуть ветку
Дмитрий Постнов

Зачем мы выбираем кодовое слово? Для чего нужен секретный вопрос? 

Ответить
Развернуть ветку
1 комментарий
Олег Тиньков

нда уж

Ответить
Развернуть ветку
Andrey Gordeev

Че нда? Не видишь что ли, банк не справляется без тебя.

Сделайте с техподдержкой там уже что-нибудь, реально бесит когда говорят "вернемся к вам с ответом через день", и пропали с концами.

Ответить
Развернуть ветку
Игорь Сарычев

Как понимать? Банк лажанул или клиент через чур болтливый и слил много критичных данных? А то что-то боязно за счёт...

Ответить
Развернуть ветку
2 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Тофсла, Вифсла и партнёры

Май эккаунт воз хакд…

Ответить
Развернуть ветку
Victor Nikolaev

сам такой бизнес построил

Ответить
Развернуть ветку
Inevitable

Заорал бля

Ответить
Развернуть ветку
Denis Kite

ну и пояснительная бригада

1. увели номер телефона
2. пользуясь п.1 привязали карту к другому телефону
3. платили телефоном
4. тинька шлет на йух, потому что... оспариваемые операции совершены с устройства к которому привязана карта)))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
15 комментариев
color

Судя по всему номер блокировали в МТС чисто что бы автор не получал смс и пушей о их действиях типа привязки нового устройства к ЛК Банка.

А вот как был изменен номер телефона в ЛК банка - большой вопрос.
"Третье лицо ответило на все дополнительные вопросы" - это утверждение? Если так, то либо автор не договаривает, либо в мошенниках появились телепаты, либо кто то в саппорте сильно накосячил.

Ответить
Развернуть ветку
14 комментариев
Иван Шеметов

Почему в Доминиканской Республике методы защиты судя по описанию намного лучше, но возможно Я конешно ошибаюсь

Ответить
Развернуть ветку
Paul Patlakh

Google authenticator, то же самое, от микрософт ещё есть такой генератор.

Ответить
Развернуть ветку
4 комментария
Виталий Александров

Карты с генерируемыми кодами есть в Авангарде.

Ответить
Развернуть ветку
Jay Green

Это старый вариант. у ЯД давно такие были, только в виде карточек.
Почему то от них все ушли.

Ответить
Развернуть ветку
2 комментария
Игорь

У банка Возрождение аналогичное устройство было. Вставляешь карточку в него. вводишь пин. нужную операцию и там появляется код который надо ввести будет для входа в интернет банк или совершения операции через него.

Ответить
Развернуть ветку
1 комментарий
Doweren .Michalja

Уралсиб, 600 рублей. Покупаете и пользуетесь, получаете расширенные лимиты на операции.

Ответить
Развернуть ветку
Conrad Ballantyne

на старзах такой токен был - чтобы денги выигранные в покер не с3,14здили

Ответить
Развернуть ветку
Antony Avals

Думал завести себе карту тинькоф, но после прочтения статьи, все желание отпало!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
49 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
11 комментариев
Мурад Муртазалиев
Прошло 10 дней, ни ответа - ни привета.

Банк ау, научи своих сотрудников использовать возможности CRM. Обещали клиенту связаться-свяжитесь, а не молчите 10 дней. 

Почему после того как я сообщил о краже, Банк Тинькофф не удосужился позаботиться о моей безопасности, сменить номер телефона с мошеннического на мой, обратно

Потому что это тиньков, ему на клиента в принципе пофиг. Не у него же деньги пропали. Вот если бы у тебя заложенность по кредиту была, они соседям твоим дозвонились. Да тинек?

Ответить
Развернуть ветку
i rek

Обиднее всего то, что банк начинает разбираться после поста на vc, до это же - одни отписки..

Ответить
Развернуть ветку
Ledneva Elena

Думаешь пост на ВЦ решит проблему и автору спишут кредит?) 

Ответить
Развернуть ветку
Zloe Aloe

Кстати говоря , если написать им жалобу на сайте и в тексте указать, что вы обязательно опишите эту историю на vc.ru, для широкой публики. В среднем, в течение 60 минут вам перезвонит руководитель того отделения в котором возникли проблемы и постарается их уладить) буду честным , не все руководители так умеют😅, но! Они хотя бы пытаются

Ответить
Развернуть ветку
Андрей Николаевич

Очень подробно и всё по полочкам разложил. Картина жуткая, просто нет слов. Правда на твоей стороне. Сил тебе и упорства. Я верю, у тебя обязательно получится отстоять свои права!

Ответить
Развернуть ветку
Darya Hihihaha

@Олег Тиньков @Тинькофф прокомментируете?

Ответить
Развернуть ветку
Тинькофф

Здравствуйте. Мы занимаемся разбором этой ситуации.

Ответить
Развернуть ветку
15 комментариев
Кирилл Стрельцов

они только занимаются. и естьощущение что занимаются выводом оставшихся денег и набирают на клиентов займы.

Ответить
Развернуть ветку
Anton Kuchumov

Для тех, кому долго читать: тинькофф банк опять обосрался, а всю вину и убытки скинул на клиента и не собирается ничего менять. Приятного пользовательского опыта авантюристам, которые ещё пользуются этой помойкой.

Ответить
Развернуть ветку
Денис Николаев

А те, кому не лень читать поняли из комментариев, что обосрался автор, слив мошеннику паспортные данные, номер и дату срока окончания карты

Ответить
Развернуть ветку
メルツ メルツ

больше похоже что виноваты тут все =\

и мтс, который по просьбе мошенника заблочил номер, даже не попытавшись позвонить на него, и автор, который сам рассказал часть данных, и тинькофф, который дал мошеннику доступ ко всему просто по звонку, не запросив дополнительно подтверждения хотя бы по емейл.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
color

- паспортные данные
- полный номер карты (первые 4 цифры это BIN номер платежной системы, тут всего пара вариантов лол), как раз последние цифры сообщать и нельзя
- скорее всего либо у автора узнали день рождения
- через номер телефона по СБП пробили ИО, фамалию скорее уже и так знали
- почекали сосцети, в которых наши любимые граждане любят вываливать всю свою жизнь
- пошли менять в тиньке номер телефона

Я хз какие в тиньке вопросы, но если это не "какого диаметра было правое яичко у пса Шарика который жил на хуторе в вашем детстве" то я не знаю, это не надежно.

Автор тоже сам себе злобный буратино.

Ответить
Развернуть ветку
1 комментарий
Владимир Маханьков
Автор

Даты дебетовой карты еще я сообщил. Кредитной карты я не сообщал никаких данных. CVC обоих карт я не сообщал. Кодовое слово тоже я не сообщал. Кража произошла с кредитной карты

Ответить
Развернуть ветку
5 комментариев
Дмитрий М

Ну что ты такие вопросы задаешь неудобные, он только паспортные данные назвал и все. При этом их даже не использовали, нахуя звонили не ясно.

Ответить
Развернуть ветку
Ренат Ренатович

Деньги мошенники по сути украли у банка, банк и должен свои деньги искать. А они все на людей перевешивают. Если их система безопасности не работает, пусть совершенствуют. А так кидают бабки направо и налево, особо не проверяя, мол все равно порядочные люди заплатят. 
Тут заявление в полицию на банк нужно писать, мол денег не брал, на меня повесили долг и вымогают теперь. 

Ответить
Развернуть ветку
AlexSandro

"Славик, чёт я очкую!" (С)
Закрадываются мысли, а не пора-ли как минимум приостановить взаимодействие с Тиньков банком, а максимум, свалить...
Если судить по статье, у сотрудников банка полное отсутствие желания вникнуть в ситуацию, разобраться и помочь, а в идеале вернуть украденное, а далее разбираться с правоохранительными органами, оно и понятно, тогда придется признать вину.
Далее так же прослеживается явная вина МТС, причем она первичная, но автор на это не делает акцент.
Одни без подтверждения личности блокируют номер, другие меняют номер в банке.
Параноик спрятавшийся глубоко в подсознании, выглядывая оттуда, грозит пальцем и говорит, что это вообще сговор ОПГ, в которой присутствуют сотрудники МТС и Тинькова (правоохранители зачесали репу, сотрудники МТС и Тинькова напряглись). Выходит чуть ли не любой человек может заблочить любой номер, и привязать свой номер к онлайн банку. Халява то какая.
По сути, вопрос с мошенниками решается элементарно, принимается закон, что в таких случаях банк БЕЗОГОВОРОЧНО ОБЯЗАН вернуть владельцу украденное, а далее вести все дела с правоохранительными органами, искать мошенника, трясти долг! Вот тогда бы они зашевелились и разработали (доработали) механизмы, исключающие воровство со счета клиента. Но нет, они все это дело переложили на плечи пострадавшей стороны.

Ответить
Развернуть ветку
Gre Li

МТС в этом плане давно офигевшие. Помните, как они смс клиентов сливали? Казалось бы любой оператор может облажаться, но с вопросами безопасности лажает именно МТС.

Ответить
Развернуть ветку
1 комментарий
Владислав Казанцев

Только вы не учитываете обратной стороны, когда вам же по каждой операции будут звонить и спрашивать: "А это вы её совершаете?". А до тех пор все ваши действия будут заблокированы и операция заморожена.

Ответить
Развернуть ветку
Игорь

Ну у нас итак сейчас если по вине банка деньги украли, то в гражданском порядке деньги взыскиваются с банка и судебная практика есть по этому вопросу. 
Только если окажется что автор сам информации наговорил мошенникам и на основании этого увели, то понятно что он ничего не получит.

Ответить
Развернуть ветку
Mike Ross

Скорее всего вернут средства и статья возможно будет удалена

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Виталий Александров

Троллятина,сливайся.

Ответить
Развернуть ветку
Александр Печерских

А могут и тебе расквасить. Не угроза, само собой. 
Но логично же, что при попытке набить морду можно получить аналогичную ответку.

Ответить
Развернуть ветку
Андрей Мильнер

В чем проблема при смене номеров, данных паспорта и прочих, запрашивать селфи человека онлайн который производит смену (без галереи), именно живое фото или видео...

Ответить
Развернуть ветку
Игорь

После этого будут посты "как тинькофф задолбал своей излишней идентификацией, ну нет у меня возможности в *называет место/время* сделать сэлфи и что мне теперь без денег остаться"?

Ответить
Развернуть ветку
3 комментария
Николай Грин

Сейчас в эпоху deepfake даже на дохлых видяхах только селфи запрашивать, угу

Ответить
Развернуть ветку
2 комментария
Kinolog

идите-ка вы подальше, зумеры-нарциссы

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Балкон.Ру
я буду писать во все инстанции

А про @МТС будете писать? 

Ответить
Развернуть ветку
tommyspb

Про МТС писать неинтересно, хайп не тот.

Ответить
Развернуть ветку
2 комментария
Елена Валерьевна

По моему сам клиент облажался с самого начала сообщая все свои данные каким то левым лицам, Тинькофф пользуюсь с 11 года, я и вся семья, никаких проблем не было никогда, зато со Сбера тысячу раз пытались и снять и кредит оформить. Если ты сам тормоз и сообщаешь свои данные то уж это твои проблемы конечно🤷‍♀️🤦‍♀️ 

Ответить
Развернуть ветку
Juri Taran

какую информацию он сообщил мошенникам которая является конфиденциальной? никакую. паспортные данные известны определенному кругу лиц, например отдел кадров, и номер телефона тоже. здесь налицо совокупное упущение системы безопасности банка и мобильного оператора

Ответить
Развернуть ветку
6 комментариев
Darkod Rest

Какая поучительная абсурдная история. Вывод один - не стоит имея за спиной опыт общения с банком 11 лет, принимать на веру входящие звонки с номеров +3******, за оффициальные. Начнем хотя бы с этого

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку