«Тинькофф» передал доступ в личный кабинет банка мошенникам, а после кражи средств встал на их сторону
Банк передал доступ в личный кабинет мошеннику, не спросив кодового слова.
А теперь подробнее:
25 и 26 июня мне поступили звонки с неизвестного номера, представившись сотрудниками банка Тинькофф.
Хочу отметить, что кодового слова и CVC кода с задней стороны карты я не называл. О самих паспортных данных обеспокоенности не было, потому что я постоянно заключаю договоры и понимаю насколько легко доступны в наше время паспортные данные.
Спустя несколько дней (29 июня) сотрудник так и не перезвонил. Я попробовал зайти в приложение Тинькофф, дабы спросить оператора в чате, но оно оказалось заблокировано. Чтобы выяснить почему, я позвонил на горячую линию в банк, где мне сообщили о мошеннических списаниях с кредитной карты (27 июня) и что сотрудник банка Тинькофф мне не звонил - выяснилось, что это мошенники.
Я зафиксировал в Тинькофф банке что произошли мошеннические операции. Мой счет заблокировали. Факт того что обращение о мошеннических операциях зафиксирован на почте письмом от Тинькофф банка.
Тинькофф банк прислал выписку об операциях. Картой кредитной я не пользовался с 20 января. Она была закрыта.
Ночью 27 июня произошли неизвестные мне операции на сумму 93005 рублей в известных магазинах в Саратове.
29 июня выяснилось, что до меня не дозвониться. Обратившись в поддержку МТС по номеру 0890, я выяснил, что мошенник 26 июня, предоставив мои паспортные данные и представившись мной, заблокировал мой номер телефона. Так как я пользуюсь двумя сим картами Билайн и МТС, я не заметил это сразу. Тут стало ясно, почему мошеннические операции с моей кредитной карты не были замечены.
Мошенник, представившись мной, позвонил с другого номера и по моим паспортным данным заблокировал мой номер телефона
Но оставался вопрос, как произошли списания с карты, если CVC я не давал? И как произошли они физически в магазинах Саратова (не онлайн), если я в это время работал в Калининграде и моя карта была у меня дома?
И тут начинается самое интересное
Абсолютно доверяя банку Тинькофф с начала 2010х годов, пользуясь им всей семьей и рекомендуя знакомым, сомнений в качестве сервиса не было. Написав заявление в полицию, я прикрепил его номер в письме банку и далее (несколько недель) стал общаться с поддержкой банка Тинькофф по переписке, чтобы выяснить как же это произошло, узнать детали, сообщить им правду все как и было и надеяться на адекватный результат.
Переписку прикрепляю. Некоторые пункты выделил зеленым цветом.
Что?
Мое устройство находилось и находится при мне в Калининграде, операции произошли в Саратове. Есть свидетели, гугл хроника, биллинг операторов, о том, что мое устройство находилось в Калининграде.
Я опешил и продолжил переписку. У меня возникло предположение, что раз злоумышленник позвонил и представился мной в МТС и заблокировал мой номер, раз операции произошли с устройства, к которому привязана карта, значит злоумышленник с такой же легкостью мог представляться мной службе поддержки Тинькофф.
Но как он это сделал без кодового слова, которое знаю только я? И для чего его тогда придумали?
Я стал задавать эти вопросы службе поддержке Тинькофф:
На что я получил информацию, что система банка все же заметила подозрительные операции, ну а далее шла формальная отписка:
Прошло 10 дней, ни ответа - ни привета.
После всех этих неконкретных ответов, терпение начало уменьшаться, я позвонил в Тинькофф и задал несколько вопросов, зафиксировав их в обращении под номером 7-7336590083966 а именно конкретно прошелся по ответам Тинькофф банка, которые я выше выделил зеленым цветом на скриншотах.
Я попросил получить официальные ответы от банка:
Цитата из письма службы поддержки Тинькофф:
Вопрос №1. С какого устройства были произведены операции?
Пояснение:
Мое устройство находилось в Калининграде, есть подтверждающие факты (гугл хроника, биллинг, свидетели)
Цитата из письма службы поддержки Тинькофф:
Вопрос №2.На какой номер отправлялся код безопасности, если в этот момент мой номер был заблокирован?
Пояснение:
Есть подтверждающая информация от операторов МТС, а также уже написана претензия и будет официальная бумага, что 26 июня неизвестное лицо позвонило в МТС и представившись мной заблокировало мой номер МТС, о том что номер заблокирован я узнал только 29 июня. В срок 26 по 29 июня были совершены мошеннические операции.
Цитата из письма службы поддержки Тинькофф:
Вопрос №3. На какие вопросы ответило третье лицо и почему банк Тинькофф не спросил кодового слова. Почему банк Тинькофф так легко передал доступ в личный кабинет мошеннику?
Цитата из письма службы поддержки Тинькофф:
Вопрос №4. Мне необходимо объяснение от банка, почему номер мошенников после сообщения о краже не был убран из базы и банк Тинькофф еще в течении нескольких недель присылал ответы на этот номер?
Почему после того как я сообщил о краже, Банк Тинькофф не удосужился позаботиться о моей безопасности, сменить номер телефона с мошеннического на мой, обратно. И после этого несколько раз присылал СМС ответы на номер мошенников и отвечал на почту, что смс не доставлено.
Это же абсурд
Сначала Тинькофф звонил и уточнял некоторые вопросы, я уже обрадовался, что дело сдвинулось, а потом, просто пришел ответ о том, что на эти вопросы мы вам не ответим, хотя косвенно, банк Тинькофф ответил на эти вопросы в переписке. А также очередной раз заученный параграф про то, что операции совершены с устройства к которому привязана карта.
В обращении я оставлял 4 вопроса, а Тинькофф банк ответил только удобным стандартным ответом.
Хотя про то, что они произошли в другом городе с устройства, к которому привязана карта, сразу же после смены контактного номера телефона, банк Тинькофф предпочитает замалчивать и не сообщает об этом. Однако, операторы мне это подтвердили во время звонка в банк
Итого получается Банк Тинькофф:
Банк Тинькофф, не спросив кодового слова и даже не уточнив паспортных данных, изменил номер телефона (без моего ведома) с моего на номер другого человека (злоумышленника), тем самым передав доступ к моим средствам.
А далее, абсолютно зная о смене номера, банк твердит о том, что операции совершены с вашего согласия, потому что вам приходил код, хотя мой номер в данный момент был заблокирован, а код приходил злоумышленнику, которому сам банк Тинькофф передал доступ.
А также, имея данные о том, что произошел факт мошенничества, о чем я упомянул в начале статьи, не позаботился о моей безопасности как клиента:(не сменил мой номера телефона обратно, который сам же и изменил на номер мошенников без моего ведома) банк Тинькофф в течении 2 недель отправлял ответы с информацией в виде СМС на номер злоумышленников, а мне отвечал что не может со мной связаться. Абсурд
Очень обидно, что доверяешь банку много лет, рекомендуешь знакомым, до последнего надеешься на справедливость и понимание, а взамен формальщина и отнекивания вместо желания разобраться в ситуации.
Теперь я отступать не намерен.
Уголовное дело о краже уже заведено. Роспотребнадзор, Центробанк, прокуратура, защита прав потребителей - я буду писать во все инстанции, дабы добиться справедливости, а также освещать это во всех возможных СМИ.
Одно дело если бы я сам перевел деньги мошенникам или потерял карту, а другое дело, когда банк передал доступ к моим деньгам другим людям.
И как после этого доверять банку?
Здравствуйте!
Мы трепетно относимся к безопасности и сохранности денег клиентов, но ваша ситуация непростая. Нам нужно время, чтобы тщательно во всем разобраться. Вскоре вернемся с подробным комментарием.
С одной стороны и правда вместе вопросом, о том, когда родился можно было бы еще и высылать код смской для проверки личности, с другой стороны это не поможет если номер украли или заблокировали.
Не мешало бы еще и почтой писать о таких серьезных операциях. Что мол, так и так, произошла такая вот история. если потвердите сейчас - сменим сразу номер, если не ответите - в течении трех дней. В общем заставлять мошенников перехватывать больше каналов общения с клиентом. это усложнит задачу. Я уж молчу о том что уже столько времени многие и я в том числе просим вас сделать TOTP-аутентификацию. Чтобы без нее вообще никак нельзя было зарегистрироваться или войти в личный кабинет с нового устройства. А сброс этого параметра скажем только по фотке с паспортом и написанной датой на листочке. короче в таких случаях бы паранойи побольше не мешало бы.
Это эффективные методы, но относительно дорогие для банка и неудобные для среднестатистического клиента. Существуют более эффективные, удобные и недорогие, но непохоже что у банка есть к ним интерес.
Среднестатистические могут продолжать терять деньги. Я о себе забочусь. Для меня очевидно что все эти пуши и смски штука крайне ненадежная на фоне TOTP.
Так и банк о своей выгоде заботится, поэтому без среднестатистических клиентов ему не обойтись. Он не будет пилить фичу, которой мало кто воспользуется, так как расходы не окупятся.
я совершенно точно ничего не понимаю, но TOTP не так уж чтобы и "пилить" надо будет. полно готовых реализаций на любых языках. В любом случае сегодня в любом банке ты живешь с чувством что обокрасть тебя - раз плюнуть. неужели трудно присылать оповещения о чувствительных операциях на email? это тоже пилить тяжело?
А выгода банка с кредитами на левых людей очевидна - большинство повздыхает, повздыхает, да начинает возвращать украденные у них деньги банку.
Даже готовые реализации придётся проверять, внедрять, тестировать, а это время и деньги. Кроме того, реализация других задач затянется. Про выгоду с кредитов согласен. В общем для банка одни издержки. Зачем это ему?
но если этого не делать, то ситуация не улучшится. думаю, что рано или поздно кто-то сделает безопасность своим приоритетом и будет рекламировать это как свое преимущество, разрешив пользователю самому выбирать между способами защиты своих денег.
Это давно сделано. Уралсиб и Авангард предоставляют своим клиентам аппаратные генераторы одноразовых кодов, если ничего не поменялось.
У Авангарда смм-шика видимо нет, уже в каждом топике про них вспоминают, могли бы и зарегаться на vc.
Да они в принципе никогда активно не продвигались, а та же дебетовая карта для физлиц насколько помню у них до выпуска подтверждается службой безопасности (т.е. теоретически могут просто отказать в выдаче карты)
Им это не надо.
Только пользоваться Уралсибом - это отдельное извращение, да и нажуливают они так, что даже альфе со сбером не снилось.
Могли бы вы рассказать подробнее, либо дать ссылку?
А то подумываю над тем, чтобы дебетовую карту у них завести.
На кой они нужны, если есть Google Authenticator? Бессмысленная трата денег.
Комментарий недоступен
Про Google Authenticator забудьте. Был момент по поводу криптовалюты. Привязал несколько бирж с этой защитой, после утери телефона, нет доступа ВООБЩЕ чтобы восстановить.
Сейчас вроде сделали возможность бэкапа
После плачевного опыта. Не хочется сталкиваться дважды.
Кто мешал самому забекапить?
Вообще нет проблем - есть код каждого TOTP-аккаунта (числовое представление QR-кода), его можно хранить в сейфе напечатанным или в любом парольном менеджере. По коду восстанавливается аккаунт на любом устройстве и в любом приложении.