«Тинькофф» передал доступ в личный кабинет банка мошенникам, а после кражи средств встал на их сторону

На мой взгляд это очевидная дыра в безопасности. Человек, который голосом может ответить на какие-то вопросы обо мне может быть мной, а может не быть мной.

Номер паспорта и девичья фамилия матери - это не суперсекретная информация, её довольно легко добыть. Правильно ли я понял что вы отдадите мои деньги любому кто это назовёт? Это какой-то способ аутентификации из 18 века, даже подпись не надо подделывать.

Зачем вы обманываете? Я позвонил так же и попросил скинуть пароль, потому что забыл свой, а форму ответа на один из контрольных вопросов забыл. Спрашивали только паспортные данные. Никаких ответов на контрольные вопросы. Да и вы хотите сказать, что они у вас в открытом виде хранятся? Тогда какой в них смысл, если сотрудник банка может их украсть и продать? Вы что?
Все контрольные вопросы старые удалили, прислали новый пароль на номер телефона по смс. Я аж охренел, что все так просто. Был рад, что смог восстановить доступ, ибо нужно было срочно операции проводить. Про себя я подумал (хотел верить), что меня таки любимый банк опознал и не стал мучать. Но дырень просто гигантская

Когда в один из последних разговоров по телефону с вашей службой поддержки я менял номер телефона с номера мошенников обратно на свой, для идентификации личности ваш оператор помимо паспортных данных, задал мне дополнительные вопросы, ответы на которые находятся в любой моей биографии как художника, буклетах и в социальных сетях в открытом доступе. Допустим. Я и не задумывался о том, что эта всю жизнь общедоступная информация защищает мои деньги. Но откуда мошенники знали кодовое слово, если я его им не называл для меня большой вопрос. Нужно это выяснить. А это уже действительно сможет выяснить только полиция. Пусть поднимает все мои переписки, смотрит где я находился, с кем общался, я готов отвечать перед судом, потому что мне нечего скрывать. Одно заявление я уже оставил о краже, мошенника ищут. А чтобы выяснить вопрос с деньгами и правду ли вы говорите придется решать это через суд, так как вы мне такой информации (как запись разговора "как бы меня" с операторами банка) предоставить не можете, как я понимаю. 

Ну, а так же вы не ответили на вопрос
Почему после сообщения о краже с моей карты вы не сменили на мой обратно? 

Ответ вашего же саппорта из аналогично кейса, там вы даже кодовое слово не спросили.

Какое же вы дно. Вместо того, что бы сменить дырявый алгоритм пытаетесь оправдаться.

ЗЫ
У вас, кстати, личные данные клиентов банка торчат в паблик. Я сообщал вам несколько месяцев назад - вы забили хер. Теперь уже они индексируются гуглом...

Так а деньги то за свой косяк вы не хотите вернуть обратно? Ваша дыра в безопасности, вы не сделали нормальную систему, при которой такая ситуация не могла иметь места. Биометрия, банальное предложение пройти верификацию через банкомат. Где все это? Господи, да на край можно было хотя бы узнать откуда звонит человек по новому номеру и потом сверить с последним местоположением/ip адресом клиента, которое у вас есть, так как он пользуется вашим приложением. 

Здесь же банк онлайновый , секундочку , смена Номера , у вас отображается номер звонившего? Если да , то самое верное 1 -послать снова смс , 2 попросить позвонить ТОГО Номера чем сначала закреплён , то есть выходит ЛЮБОЙ человек зная какие то данные , паспорт уже не проблема знать. Мы где только не оставляем , в отелях и различных заявках, кодовое слово да, хороший вариант и по сути последний рубеж обороны, но при должной социальной инженерии и догадаться несложно, меня удивило что по логам смс не доставлено вы все равно поменяли номер телефона.

Любые личные данные не проблема найти/купить. К кодовому слову имеют доступ сотрудники банка, а значит оно тоже может легко оказаться у мошенников. Подскажите (мне правда интересно и это не троллинг), как железобетонно защитить свои деньги в вашем банке от ситуации, которая описана в статье?

"звонивший знал ответы на все вопросы, включая кодовое слово и ваши паспортные данные." - не стыкуется с ответом банка от 20.07, в котором утверждается, что паспортные данные не уточнялись.
Не поясните ещё, плз, про кодовое слово? Реально его было угадать (догадаться) или ТС его все же где-то попалил?
Интересуюсь, потому что тоже являюсь давним клиентом ТБ и тоже задумался, могут ли меня так же поиметь.

В чём проблема прикрутить блокировку всех операций из приложения на 24 часа при смене номера\устройства, с согласия клиента? Карты при этом никуда не денутся. Я задал такой вопрос поддержке в чате - сказали, что я чуть ли не единственный, кому это вдруг понадобилось, что средства клиентов под надёжной защитой(агада), поэтому нет смысла в таком функционале. Может хотя бы возьмёте на заметку, м?

Подтвердить это может, только аудио запись разговора. Иначе это просто слова 

Тинькофф вам идея.. Можно сделать услугу которую можно активировать в приложении, запрет вывода в наличные подозрительных операций, если например автор статьи поставил бы галочку на такую услугу, то тогда у вас было бы больше времени на расследование пока деньги у злоумышленника..

Тинькофф вам идея, почему бы не сделать функцию заморозку вывода в наличные подозрительных операций, если бы автор данной статьи например поставил галочку на такую услугу, то у вас было бы еще время на расследование пока деньги у злоумышленника..

Позорники!!!

а почему ваш антифрод не отработал на то что было сменено устройство? и та карта с которой платил злоумышленник была добавлена импортом из мобильного приложения или как ? 

Ну что за козлы…

Ну так ваш же сотрудник и позвонил и конечно он знал все нужные ответы из профиля вашего клиента.

Предоставьте запись телефонного разговора что были ответы на все аопросы в том числе и на кодовое слово

Предоставьте клиенту и ментам запись разговора с мошенником. Это просто и докажет знал ли мошенник кодовое слово или вы врете и ничего у него не спросили. Записи вы обязаны хранить по закону - не надо врать что их нет или утеряны

вот вопрос:
вы один из известных банков, а фрод-мониторинга у вас совсем нет?
Или смена телефонного номера и затем покупки продуктов в кредит на сумму выше 20тыщ рублей в Саратове это типичное поведение ваших клиентов?

Предоставьте человеку запись разговора, будет голос мошенника и вы сможете подтвердить что мошенник называл кодовой слово, а так ваша отписка всего лишь вода

.

Вроде как Звонок записывается при обращении в колл центр, послушать запись, какие вопросы задавали что ответил мошенник

Вы же говорили что есть киллер фича как идентификация по голосу

а вы задавайте такие вопросы на которые не все знают ответы. по тинькофф мобайл кодовое слово вы никогда не спрашиваете. в банке - тоже не часто. 
очень много историй как ваши сотрудники считают что разговаривают с клиентом и дают доступы везде и без проблем ( даже после случаем мошенникчества как было у меня)  а нафига вам информация по номеру телефона клеинта, его устройству, голосу, геолокации?

Я бы еще добавил, что в этом случае надо не просто подавать заявление в полицию, но и подавать в суд на Тинькофф о признании их ответственными за дырявую систему безопасности.

Банки в целом не поспевают за мошенниками. Очевидно же, что смс коды уже не являются надёжным способом защиты.

В суд обращайся не тяни.они чуть что бегут, так и ты не жди. 

Дыра в безопасности - это печально, конечно. Неприятная история.

А автор подарил данные мошенникам. Не известно, какие. Тоже, как бы, не самый умный поступок.

Вот блин. Никогда не писал комментарии к подобным статьям. Но тут прям бомбонуло. Да хватит уже Тинькофф поносить! Каждый день новая статья о том, как хреново банк работает, или денег отнял, или обманул кого, или ещё чего. Возьмитесь рассказывать про Сбербанк к примеру! А, что, нет? Сбербанк первый банк страны? Его нельзя просто так грязью поливать? Хотя этой грязи у банка не мерянно. А Тинькофф главный конкурент главного банка страны. И по этому, через не лепые статьи необходимо отбить у него всех потенциальных клиентов, и пока они не одумальэись подсадить на иглу Сбера... Удачи вам. Я и все мое окружение пользуемся услугами банка Тинькофф, и скажу вам за 10 лет не было ни единого раза, ни у кого, что бы банк сделал что-то не так по отношению к клиенту. Не с физическим лицом, ни с юридическим. Чего не могу сказать о главном банке страны. 
 Вообщем прекращайте писать глупые статьи.

Недостаточно. Менял номер — там гоняют в хвост и в гриву вопросами, которые можно узнать только уже имея доступ к ЛК.

я не понимаю как можно помять кодовое слово не зная изначального слова.я не защищаю банк ,но не ясно , у самого две карты тиньков кредитка и блэк и два телефона (соответственно с разными номерами), карты подключены к google pay и apple pay смс уведомления отключены ,приходят push уведомления на оба телефона о платежах и тратах и на обоих мобильный банк.Можно украсть gmail и тогда востановить на другом телефоне google pay но не уверен что можно без смс подтверждения ,и потом какой дурак ))) попрётся в dns с ворованой картой там же камеры везде натыканы,и на покупку в размере 59000 нужен скорее всего пин да же с устройства а его можно отключить зная его или попросту знать ,узнать его по телефону не получиться.

Sms - у оператора заказывают новую симку. Касаемо подтверждения через банкомат - украсть номер карты и пин очень просто. Так что ваши идеи , скажем прямо - не защитят

Как поменять кодовое слово не зная кодого слова изначального?)) 

Не возвращайте банку эти деньги и идите в суд!

"смена номера только после ввода кода пришедшего на старый номер или через банкомат с авторизацией через действующую карту." - это разве решено?
Решено это с заявлением в отделение лично

С точки зрения безопасности, двухфакторная это как минимум 2 разных устройства. 
Если устройство одно и тоже, это в любом случае однофакторная.

А никогда. Релиз таких фич в продакшн это пара сотен часов программистов и инженеров, потом еще всяких тестеров и UIщиков.
И пользоваться этим будут ЕДИНИЦЫ.

Формула на самом деле простая - пока расходы на damage control меньше стоимости реализации, никто не будет делать. Типичная юнит экономика.

может некоторые банки так специально делают чтобы воровать деньги клиентов?

Биометрия мне кажется помогла бы. Но такая, которая хранится не в телефоне, а централизованно на сервере. Проблема в том, что если банк принудительно это включит, то набегут всякие антипрививочники и любители сжигать вышки 5G

Появится куча людей потерявших доступ к otp генератору. У тинькова нет офисов, поэтому отвязывать от otp так же будут по телефону, это же прогрессивно и современно.

то это повод сразу прекратить разговор. Не имеет значения, настоящий это сотрудник или нет.

А зачем прекращать? Я обычно левые данные говорю... Ну, первые 4 цифры с карты, а дальше цифры с карты пятерочка, например. Играю из себя жертву, развлекаюсь... У меня обычно времени много.

Вот по этой причине пользоваться банком без офиса и другим советовать, да ещё и тем, про который новости про глюки каждую неделю - дурная затея

"-хуй у себя во рту зафиксируй",бугагагагагага)))))99 уровень троллинга.

Пикабу тоже здесь)

В данном случае "финансовый номер" уже 100%-й сигнал

С одной стороны и правда вместе вопросом, о том, когда родился можно было бы еще  и высылать код смской для проверки личности, с другой стороны это не поможет если номер украли или заблокировали.
Не мешало бы еще и почтой писать о таких серьезных операциях. Что мол, так и так, произошла такая вот история. если потвердите сейчас - сменим сразу номер, если не ответите - в течении трех дней. В общем заставлять мошенников перехватывать больше каналов общения с клиентом. это усложнит задачу. Я уж молчу о том что уже столько времени многие и я в том числе просим вас сделать TOTP-аутентификацию. Чтобы без нее вообще никак нельзя было зарегистрироваться или войти в личный кабинет с нового устройства. А сброс этого параметра скажем только по фотке с паспортом и написанной датой на листочке. короче в таких случаях бы паранойи побольше не мешало бы.

Как и автор, активно пользуюсь вашим банком (в т.ч. и брокером), перевел к вам всю семью.
Если ситуация автора позитивно не разрешится, будем рассматривать вариант перехода в другой банк.
По факту ваша СБ проявила себя некомпетентно, говоря мягко.
Техническая поддержка и вовсе не пытается разобраться в проблеме, отвечая шаблонно.
Где гарантии что завтра такое не произойдет с кем-то ещё?

Аллё, банк, в чём дело? 
У вас идентификация звонившего по голосу уже несколько лет. А вы сливаете чужие бабки мошеннику. 
Так может это сговор и сотрудник банка в доляшке сладкой? 

Пришла в голову вот какая идея: кодовое слово банка. При звонке клиенту оператор говорит кодовое слово, клиент может проверить его в приложении (оно своё для каждого клиента и меняется, скажем, каждые 5 минут), и тогда клиент может быть уверен, что говорит именно с представителем банка, а не с мошенником. Такой TOTP в обратную сторону : )

получается, пока ТС сюда не написал, ТКС вообще не занимался выяснением, что там случилось?

Не запросив пинкода, дат карты, вы не имеете права говорить:

Подозреваю, что ситуация закончится возвратом средств, но вам ребята необходимо обновлять правила смены контактного номера или любых других критически важных.

Когда-то давно восстановить доступ в ИБ можно было только по номеру основной карты. Трепетно относящиеся к своим деньгам клиенты держали эту карту в сейфе, пользуясь допками и нигде не светя её номер. Вы это давно уничтожили, хотя чего проще - в настройках всех карт добавить переключатель, разрешающий использовать её для восстановления доступа. И пусть он по умолчанию будет включен для тех, кого это не тревожит. Вас об этом просят много лет, но вам до этого нет дела. Более того, до последнего времени существовала возможность запретить вход в ИБ по номеру телефона. Недавно вы и это похоронили. Рассказывайте дальше насколько вы озабочены безопасностью средств клиентов.

вот (тут кстати попалось) как действует в похожей "непростой" ситуации один сервис, которому не плевать на своих клиентов: 
 

Лично я жду от Тинька пост со всеми вот этими обещаниями разобраться и результатами выполнения этих обещаний. А то вы один и тот же комментарий оставляете и скорее всего продолжаете класть болт на проблемы. 

Напрягает данная история, только перешел на вашу карту, жду развязки или буду снова менять банк на аналог.

Оффтоп. Было бы интересно почитать статью о мошенниках со стороны банка - ведь каждый день наверняка куча хитрожопых бездельников пытаются нагреть и банк и клиентов. Или были такие стать от банков? Ткни плиз, если есть.

Имхо вся тупка с этим "ну это вы сами сделали" идет от мошенников, которые вряд ли пишут статьи о том как в очередной раз им не удалось прогнуть банк. На мой взгляд это было бы куда полезнее очередных банальных рекомендаций "никому ничего не сообщайте, перезвоните в банк, бла бла бла"

Не звездите. У вас дырявая безопасность и медленные разработчики, которые не могут закрыть эти дыры. Наслышан.

Огромная дыра в безопасности клиентов банка

Вы же уже подробно послали его платить кредит. И не собираетесь оспаривать эти операции

А токен на телефон пользователя? Как бухгалтерам в фирмах. Электронная подпись. Тогда симку на чужое устройство не поставишь. 

И есть же ещё с 90-х шифрование для электронной почты когда один кусок ключа у одного, второй у другого. Как купюра неровно порванная пополам.

Тогда звони не звони с поддельного номера - своей части ключа - нет. Хоть "из банка", хоть псевдоклиент в банк...

подожду ответа тут

Я думаю сначала нужно возвращать деньги клиенту, а уже потом во всем разбираться. Тогда у банка будет веский стимул.
А вот по итогом разборок если клиент кажется не прав, то тогда на клиента подавать в суд и пробовать выиграть дело.

ахахаха вы поэтому на меня 10 займов взяли?

Зачем мы выбираем кодовое слово? Для чего нужен секретный вопрос? 

Че нда? Не видишь что ли, банк не справляется без тебя.

Сделайте с техподдержкой там уже что-нибудь, реально бесит когда говорят "вернемся к вам с ответом через день", и пропали с концами.

Как понимать? Банк лажанул или клиент через чур болтливый и слил много критичных данных? А то что-то боязно за счёт...

Май эккаунт воз хакд…

сам такой бизнес построил

Заорал бля

Судя по всему номер блокировали в МТС чисто что бы автор не получал смс и пушей о их действиях типа привязки нового устройства к ЛК Банка.

А вот как был изменен номер телефона в ЛК банка - большой вопрос.
"Третье лицо ответило на все дополнительные вопросы" - это утверждение? Если так, то либо автор не договаривает, либо в мошенниках появились телепаты, либо кто то в саппорте сильно накосячил.

Google authenticator, то же самое, от микрософт ещё есть такой генератор.

Карты с генерируемыми кодами есть в Авангарде.

Это старый вариант. у ЯД давно такие были, только в виде карточек.
Почему то от них все ушли.

У банка Возрождение аналогичное устройство было. Вставляешь карточку в него. вводишь пин. нужную операцию и там появляется код который надо ввести будет для входа в интернет банк или совершения операции через него.

Уралсиб, 600 рублей. Покупаете и пользуетесь, получаете расширенные лимиты на операции.

на старзах такой токен был - чтобы денги выигранные в покер не с3,14здили

Думаешь пост на ВЦ решит проблему и автору спишут кредит?) 

Кстати говоря , если написать им жалобу на сайте и в тексте указать, что вы обязательно опишите эту историю на vc.ru, для широкой публики. В среднем, в течение 60 минут вам перезвонит руководитель того отделения в котором возникли проблемы и постарается их уладить) буду честным , не все руководители так умеют😅, но! Они хотя бы пытаются

Здравствуйте. Мы занимаемся разбором этой ситуации.

они только занимаются. и естьощущение что занимаются выводом оставшихся денег и набирают на клиентов займы.

А те, кому не лень читать поняли из комментариев, что обосрался автор, слив мошеннику паспортные данные, номер и дату срока окончания карты

больше похоже что виноваты тут все =\

и мтс, который по просьбе мошенника заблочил номер, даже не попытавшись позвонить на него, и автор, который сам рассказал часть данных, и тинькофф, который дал мошеннику доступ ко всему просто по звонку, не запросив дополнительно подтверждения хотя бы по емейл.

- паспортные данные
- полный номер карты (первые 4 цифры это BIN номер платежной системы, тут всего пара вариантов лол), как раз последние цифры сообщать и нельзя
- скорее всего либо у автора узнали день рождения
- через номер телефона по СБП пробили ИО, фамалию скорее уже и так знали
- почекали сосцети, в которых наши любимые граждане любят вываливать всю свою жизнь
- пошли менять в тиньке номер телефона

Я хз какие в тиньке вопросы, но если это не "какого диаметра было правое яичко у пса Шарика который жил на хуторе в вашем детстве" то я не знаю, это не надежно.

Автор тоже сам себе злобный буратино.

Даты дебетовой карты еще я сообщил. Кредитной карты я не сообщал никаких данных. CVC обоих карт я не сообщал. Кодовое слово тоже я не сообщал. Кража произошла с кредитной карты

Ну что ты такие вопросы задаешь неудобные, он только паспортные данные назвал и все. При этом их даже не использовали, нахуя звонили не ясно.

МТС в этом плане давно офигевшие. Помните, как они смс клиентов сливали? Казалось бы любой оператор может облажаться, но с вопросами безопасности лажает именно МТС.

Только вы не учитываете обратной стороны, когда вам же по каждой операции будут звонить и спрашивать: "А это вы её совершаете?". А до тех пор все ваши действия будут заблокированы и операция заморожена.

Ну у нас итак сейчас если по вине банка деньги украли, то в гражданском порядке деньги взыскиваются с банка и судебная практика есть по этому вопросу. 
Только если окажется что автор сам информации наговорил мошенникам и на основании этого увели, то понятно что он ничего не получит.

Скорее всего вернут средства и статья возможно будет удалена

Троллятина,сливайся.

А могут и тебе расквасить. Не угроза, само собой. 
Но логично же, что при попытке набить морду можно получить аналогичную ответку.

После этого будут посты "как тинькофф задолбал своей излишней идентификацией, ну нет у меня возможности в *называет место/время* сделать сэлфи и что мне теперь без денег остаться"?

Сейчас в эпоху deepfake даже на дохлых видяхах только селфи запрашивать, угу

идите-ка вы подальше, зумеры-нарциссы

Про МТС писать неинтересно, хайп не тот.

какую информацию он сообщил мошенникам которая является конфиденциальной? никакую. паспортные данные известны определенному кругу лиц, например отдел кадров, и номер телефона тоже. здесь налицо совокупное упущение системы безопасности банка и мобильного оператора