Всем "доброго" утра. Такое могло бы быть и у меня, если бы я не проснулся и не обнаружил сабж темы.
Хроника:
11:17 СМС от TINKOFF "НИКОМУ НЕ ГОВОРИТЕ КОД ХХХХ!
11:18 СМС от TINKOFF "НИКОМУ НЕ ГОВОРИТЕ КОД ХХХХ!
11:20 СМС "АО ТИНЬКОФФ БАНК ПОДГОТОВИЛ ДЛЯ ВАС ЧЕРНОВИК ЗАЯВЛЕНИЯ №ХХХХХХ НА УСЛУГУ "ИНФОРМИРОВАНИЕ ЗАРЕГИСТРИРОВАННЫХ ЛИЦ О СОСТОЯНИИ ИХ ИНДИВИДУАЛЬНЫХ ЛИЦЕВЫХ СЧЕТОВ"
11:24 СМС от TINKOFF "ЗАЯВКА НА КАРТУ ОДОБРЕНА! НАЗНАЧЬТЕ ВСТРЕЧУ!"
После чего в личном кабинете появилась карта на 134000 рублей All Games.
Я её заблокировал и написал в поддержку, на что мне задали вопрос, не терял ли я паспорт, и довольно вяло уточнили, что этими действиями (выпуском карты без моего ведома видимо) занимается полиция.
Как именно была одобрена заявка мне не сообщили (разумеется), но заявку на закрытие карты оформили. Правда до 11.09. То есть выпускаем мы за минуту без моего ведома, а закрываем со мной за неделю. Топ!
Карту я заблокировал сразу, но теперь ощущаю затишье перед бурей.
Вопрос №1: Что еще мне нужно сделать, чтобы обезопасить себя конкретно на этот кейс? (карту кредитную уже заблочил, хз есть ли там какие-то проценты и тому подобное)
Вопрос №2 (хотя на самом деле №1): Как перестать быть клиентом Тинькофф-Банка? Слишком много таких кейсов в подобное время и что-то как-то не хочется думать о том, что если бы я проснулся на несколько часов позже, возможно я увидел бы уже потраченную сумму. Расскажите, кто уже расторгал договор, как это кратко сделать.
Спасибо!
UPDATE: 14:53. PUSH-Уведомления в приложении "Договор кредитной карты закрыт".
Банки просто отказываются понимать, что подтверждение авторизации/операций недостаточно безопасно с использование SMS/PUSH уведомлений с этими одноразовыми кодами. Безопасность такого уровня достаточна, например для авторизации на vc.ru, но никак не в банковской сфере. Про TOTP не, не слышали.
Ну ок — почитайте.
Я кстати уже пришел к мнению, что банки обязаны выдавать устройства отдельные для такой идентификации, чтобы они не ссылались на вирусы на смартфоне, а то слишком у них хорошая отмашка получается.. Ну раз вирусы, то выдай устройство без вирусов, а то что я специалист по информационной безопасности и должен там реверс инжинирингом своего смартфона заниматься, это не мои обязанности и вирусы вообще нисколько не вина пользователя на мой взгляд, ИМХО.. Пусть им понадобится потратиться на это, но тут должен быть такой расклад: 1) вариант А это ты не делаешь устройства и получаешь профит от конверсии и стоимости этих устройств, но при этом несешь убытки от мошенников путем выплаты денег пострадавших 2) вариант Б делаешь устройства тратишься на них, но при этом можешь оспаривать дела о мошенничестве в суде. Но и без устройств тоже в принципе возможно все сделать для этого надо добавить 2ф и запретить так сразу выводить деньги мошенникам в неизвестном направлении..