«Тинькофф» передал доступ в личный кабинет банка мошенникам, а после кражи средств встал на их сторону
Банк передал доступ в личный кабинет мошеннику, не спросив кодового слова.
А теперь подробнее:
25 и 26 июня мне поступили звонки с неизвестного номера, представившись сотрудниками банка Тинькофф.
Хочу отметить, что кодового слова и CVC кода с задней стороны карты я не называл. О самих паспортных данных обеспокоенности не было, потому что я постоянно заключаю договоры и понимаю насколько легко доступны в наше время паспортные данные.
Спустя несколько дней (29 июня) сотрудник так и не перезвонил. Я попробовал зайти в приложение Тинькофф, дабы спросить оператора в чате, но оно оказалось заблокировано. Чтобы выяснить почему, я позвонил на горячую линию в банк, где мне сообщили о мошеннических списаниях с кредитной карты (27 июня) и что сотрудник банка Тинькофф мне не звонил - выяснилось, что это мошенники.
Я зафиксировал в Тинькофф банке что произошли мошеннические операции. Мой счет заблокировали. Факт того что обращение о мошеннических операциях зафиксирован на почте письмом от Тинькофф банка.
Тинькофф банк прислал выписку об операциях. Картой кредитной я не пользовался с 20 января. Она была закрыта.
Ночью 27 июня произошли неизвестные мне операции на сумму 93005 рублей в известных магазинах в Саратове.
29 июня выяснилось, что до меня не дозвониться. Обратившись в поддержку МТС по номеру 0890, я выяснил, что мошенник 26 июня, предоставив мои паспортные данные и представившись мной, заблокировал мой номер телефона. Так как я пользуюсь двумя сим картами Билайн и МТС, я не заметил это сразу. Тут стало ясно, почему мошеннические операции с моей кредитной карты не были замечены.
Мошенник, представившись мной, позвонил с другого номера и по моим паспортным данным заблокировал мой номер телефона
Но оставался вопрос, как произошли списания с карты, если CVC я не давал? И как произошли они физически в магазинах Саратова (не онлайн), если я в это время работал в Калининграде и моя карта была у меня дома?
И тут начинается самое интересное
Абсолютно доверяя банку Тинькофф с начала 2010х годов, пользуясь им всей семьей и рекомендуя знакомым, сомнений в качестве сервиса не было. Написав заявление в полицию, я прикрепил его номер в письме банку и далее (несколько недель) стал общаться с поддержкой банка Тинькофф по переписке, чтобы выяснить как же это произошло, узнать детали, сообщить им правду все как и было и надеяться на адекватный результат.
Переписку прикрепляю. Некоторые пункты выделил зеленым цветом.
Что?
Мое устройство находилось и находится при мне в Калининграде, операции произошли в Саратове. Есть свидетели, гугл хроника, биллинг операторов, о том, что мое устройство находилось в Калининграде.
Я опешил и продолжил переписку. У меня возникло предположение, что раз злоумышленник позвонил и представился мной в МТС и заблокировал мой номер, раз операции произошли с устройства, к которому привязана карта, значит злоумышленник с такой же легкостью мог представляться мной службе поддержки Тинькофф.
Но как он это сделал без кодового слова, которое знаю только я? И для чего его тогда придумали?
Я стал задавать эти вопросы службе поддержке Тинькофф:
На что я получил информацию, что система банка все же заметила подозрительные операции, ну а далее шла формальная отписка:
Прошло 10 дней, ни ответа - ни привета.
После всех этих неконкретных ответов, терпение начало уменьшаться, я позвонил в Тинькофф и задал несколько вопросов, зафиксировав их в обращении под номером 7-7336590083966 а именно конкретно прошелся по ответам Тинькофф банка, которые я выше выделил зеленым цветом на скриншотах.
Я попросил получить официальные ответы от банка:
Цитата из письма службы поддержки Тинькофф:
Не получится вернуть деньги за операции, потому что их сделали устройством, к которому была привязана карта. Доступ к устройству должен быть только у вас, поэтому такие операции считаются совершенными с вашего согласия.
Вопрос №1. С какого устройства были произведены операции?
Пояснение:
Мое устройство находилось в Калининграде, есть подтверждающие факты (гугл хроника, биллинг, свидетели)
Цитата из письма службы поддержки Тинькофф:
Оспариваемые операции совершены с помощью устройства к которому была привязана карта, чтобы привязать карту нужно войти в мобильный банк или знать данные карты и код безопасности, который отправляется только вам.
Вопрос №2.На какой номер отправлялся код безопасности, если в этот момент мой номер был заблокирован?
Пояснение:
Есть подтверждающая информация от операторов МТС, а также уже написана претензия и будет официальная бумага, что 26 июня неизвестное лицо позвонило в МТС и представившись мной заблокировало мой номер МТС, о том что номер заблокирован я узнал только 29 июня. В срок 26 по 29 июня были совершены мошеннические операции.
Цитата из письма службы поддержки Тинькофф:
Третье лицо ответило на все дополнительные вопросы, при этом паспортные данные не уточнялись.
Вопрос №3. На какие вопросы ответило третье лицо и почему банк Тинькофф не спросил кодового слова. Почему банк Тинькофф так легко передал доступ в личный кабинет мошеннику?
Цитата из письма службы поддержки Тинькофф:
СМС отправлено на номер телефона, который указан в нашей системе. Вижу, что оператор не доставил сообщение.
Вопрос №4. Мне необходимо объяснение от банка, почему номер мошенников после сообщения о краже не был убран из базы и банк Тинькофф еще в течении нескольких недель присылал ответы на этот номер?
Почему после того как я сообщил о краже, Банк Тинькофф не удосужился позаботиться о моей безопасности, сменить номер телефона с мошеннического на мой, обратно. И после этого несколько раз присылал СМС ответы на номер мошенников и отвечал на почту, что смс не доставлено.
Это же абсурд
Сначала Тинькофф звонил и уточнял некоторые вопросы, я уже обрадовался, что дело сдвинулось, а потом, просто пришел ответ о том, что на эти вопросы мы вам не ответим, хотя косвенно, банк Тинькофф ответил на эти вопросы в переписке. А также очередной раз заученный параграф про то, что операции совершены с устройства к которому привязана карта.
В обращении я оставлял 4 вопроса, а Тинькофф банк ответил только удобным стандартным ответом.
Хотя про то, что они произошли в другом городе с устройства, к которому привязана карта, сразу же после смены контактного номера телефона, банк Тинькофф предпочитает замалчивать и не сообщает об этом. Однако, операторы мне это подтвердили во время звонка в банк
Итого получается Банк Тинькофф:
Банк Тинькофф, не спросив кодового слова и даже не уточнив паспортных данных, изменил номер телефона (без моего ведома) с моего на номер другого человека (злоумышленника), тем самым передав доступ к моим средствам.
А далее, абсолютно зная о смене номера, банк твердит о том, что операции совершены с вашего согласия, потому что вам приходил код, хотя мой номер в данный момент был заблокирован, а код приходил злоумышленнику, которому сам банк Тинькофф передал доступ.
А также, имея данные о том, что произошел факт мошенничества, о чем я упомянул в начале статьи, не позаботился о моей безопасности как клиента:(не сменил мой номера телефона обратно, который сам же и изменил на номер мошенников без моего ведома) банк Тинькофф в течении 2 недель отправлял ответы с информацией в виде СМС на номер злоумышленников, а мне отвечал что не может со мной связаться. Абсурд
Очень обидно, что доверяешь банку много лет, рекомендуешь знакомым, до последнего надеешься на справедливость и понимание, а взамен формальщина и отнекивания вместо желания разобраться в ситуации.
Теперь я отступать не намерен.
Уголовное дело о краже уже заведено. Роспотребнадзор, Центробанк, прокуратура, защита прав потребителей - я буду писать во все инстанции, дабы добиться справедливости, а также освещать это во всех возможных СМИ.
Одно дело если бы я сам перевел деньги мошенникам или потерял карту, а другое дело, когда банк передал доступ к моим деньгам другим людям.
И как после этого доверять банку?
Добрый день!
Мы подробно еще раз разобрали ситуацию, проверили все звонки и другие данные, возвращаемся с ответом, как и обещали.
26.06.2021 в 19:15 поступил звонок на нашу линию от вашего имени, звонивший знал ответы на все вопросы, включая кодовое слово и ваши паспортные данные.
Он ответил правильно на все вопросы оператора, назвал кодовое слово и попросил заменить мобильный номер в системе, после чего мы отправили сообщение об этом на предыдущий номер. Судя по всему, к этому времени старый номер уже был заблокирован, поэтому вы не получили уведомление.
После этого, судя по логам, в 20:24 мошенник попытался зайти в личный кабинет с нового устройства, ему это сделать не удалось. Поэтому он еще раз связался уже в 22:15, снова прошел идентификацию с кодовым словом и другими данными и залогинился в личном кабинете.
Еще раз подчеркнем, что обратившийся знал ответы на все вопросы, кодовое слово и паспортные данные, поэтому ему удалось убедить оператора в том, что тот разговаривает с клиентом.
Любые личные данные не проблема найти/купить. К кодовому слову имеют доступ сотрудники банка, а значит оно тоже может легко оказаться у мошенников. Подскажите (мне правда интересно и это не троллинг), как железобетонно защитить свои деньги в вашем банке от ситуации, которая описана в статье?
Приветствуем.
Когда сотрудник спрашивает кодовое слово, то он не знает правильный ответ, а указывает его в системе, что позволяет обезопасить кодовые данные — сотрудник просто не может знать правильного ответа на вопрос. Каждое действие в системе логируется, сотрудники знают об уголовной ответственности и подписывают соглашение о неразглашении персональной информации. Рекомендуем использовать только проверенные сервисы/сайты, чтобы не угодить к мошенниками. Лучше использовать не самое стандартное слово и никому не сообщать его.
Как минимум, проверка кодового слова уже организована неверно, так как оператор получает к нему доступ в момент проверки. Разумнее было бы после запроса кодового слова открывать в приложении пользователя форму для ввода, чтобы пользователь сам вводил кодовое слово, а оператор видел у себя лишь результат этого ввода (верно/неверно). А разумнее и правда было бы для операций, связанных со сменой значимой информации (телефон, email, устройство) делать подтверждение по максимально возможным каналам связи (смена телефона - отправлять код на email, указанный в профиле и т.п.) Ну и лично мне не понятно, почему игнорируются идеи с программными аутентификаторами, которые тут неоднократно высказывались и часто используются для повышения безопасности аутентификации.
P.S. Тоже вот задумался от отказа услуг банка из-за подобных очевидных дыр в безопасности.
Можно ли технически отменить возможность использовать кодовое слово? (сделать его таким, которое около невозможно принять, например, смесь японского/китайского/хинди/нечитаемых букв)? Т.е. сделать вариант, когда невозможно удалённо провести какие-либо операции, требующие кодовое слово?
Нельзя отменить кодовое слово. Выбрать можете любое слово по вашему желанию (за исключением нецензурных).
Использовать можно буквы русского алфавита, цифры, пробел, дефис.
Просто мне за ~5 лет оно ни разу не понадобилось, и я предпочту раз в 5 лет добраться в любое место и лично что-то выполнить, чем попасть в подобную ситуацию.
Это пока не клюнуло: может потребоваться быстро разблокировать карту или, наоборот, разблокировать. И любое место в данном случае - Москва.
Проблема в том, что в случае с банком Тинькофф добраться до места проблема. Места то нет.
поскольку все ваши сотрудники отмороженные, они даже не знают, что такое уголовная ответственность. не пишите очередное вранье и бред. признайте ошибку и верните деньги клиенту
))) улыбнуло про отмороженных сотрудников.
Они не могут вернуть деньги. Нужно основание, например решение суда. Иначе таким вот способом можно было бы отмывать деньги
зачем решение суда, если вина банка очевидна???
Потому что министерству финансов не очевидно.
Всмысле не может знать, после ввода слова и проверки на правильность сотрудник то уже знает кодовое слово клиента, а список отработанных клиентов сохраняется в CRM, и у сотрудника к нему доступ есть, поэьому утечка от сотруднтков ТП вполне реальна
Каждый раз когда я в общественном месте и так случается, что разговариваю с банком (не обязательно Тинькофф) и они меня просят назвать кодовое слово, я мысленно бью себя ладонью по лбу и говорю: это провал.. Уровень защиты при необходимости называть кодовое слово что-то из разряда как в анекдоте:
- Пароль?
- Черное небо!
- Неправильно, пароль - белая земля, проходи, в следующий раз не ошибайся.
фигня это ваше кодовое слово, так как мошенники просто меняют его.
Да даже кодовое слово не нужно. Мне восстанавливали доступ без кодового слова. Видимо было достаточно голосовой авторизации.
Я сейчас крепко задумался о том, чтобы вывести все деньги, уж очень легко получить к ним доступ.