Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
@Тинькофф - как мне запретить такое у себя? Чтобы никто, никогда, никак не мог снять деньги с моей карты без карты, без пина?
Как только разберем ситуацию - ответим.
Не, я вне зависимости от результатов рассмотрения, даже если вы ему х2 денег вернёте, мне просто надо убрать эту дичь (да простит меня автор идеи и Олег Тиньков, который оплатил эту ерунду)
Даже х0,5 не вернут. Ну и вам скорей всего не помогут, так как вероятнее всего что-то нужно допиливать, чтобы вы могли подобное запретить. А это значит опять расход. Проще так, деньги ваши, значит и проблемы ваши.
твои деньги в банке - деньги банка ( ͡° ͜ʖ ͡°)
QR-код - скорее всего от системы быстрых платежей. Запретить - вряд ли, т.к. это насаждается ЦБ.
Не, не в этом идиотизм сервиса. Когда кто-то перевёл мои деньги по СБП без моего согласия, то есть хотя бы теоретический шанс, что могут вернуть (ну может милиция работать начнёт), а когда по коду, то вообще нет следов никаких, кроме видеозаписи с банкомата в Пятигорске (человек в чёрной шапке, тёмной куртке и в тёмных очках снял деньги в 13 часов).
Алло @Тинькофф вы как то писали, что восстановление доступа в лк при забытом пароле возможно только, если знать номер физической карты. Получается, мошенники ещё и номер карты знали? Или у вас там все по звонку с левого номера + назвать дату рождения восстанавливается черт побери? Как доступ к лк мошенники у вас получают я уже много месяцев пытаюсь понять? Где временные ограничения на аккаунте после восстановления доступа / смены номера и как у других банков? Где ваша хваленая идентификация по голосу, лицу? Где проверки на локацию операций, действий? Где опциональная возможность идентификации только через курьера (для премиумов хотя бы)? Где возможность добавить доп. фактор безопасности в виде кода на привязанную почту? Сколько месяцев вас уже просят все это добавить? Год, два? Чем вы вообще занимаетесь там? Нихера абсолютно не делаете.
Мы делаем все возможное, чтобы деньги наших клиентов были в безопасности. Не стоит забывать, что сохранность денег тоже зависит и от самих клиентов.
Зависит, но от вас она зависит намного больше. Ваша работа заключается в том, чтобы максимально усложнить потерю денег ваших клиентов. Но на деле у вас, как и у других банков, это наоборот максимально упрощено. И вы (банки) даже не даете возможности максимизировать безопасность своих счетов тем, кто этого хочет. У вас одинаковые дырявые порядки различных идентификаций как для клиента с 2000 рублями на счетах, так и с 20 млн рублей на счетах. У меня почтовые аккаунты на разных сервисах защищены лучше, чем аккаунт в вашем банке лол.
Кстати, про почту это 100% так. Почту сейчас можно нормально защитить, а банк это доступ по паспортным данным, восстановление всего и вся по смс и т.д. и т.п.
Раньше Тинькофф славился своей службой ИБ, а теперь какое-то дно.
@Тинькофф "Не стоит забывать, что сохранность денег тоже зависит и от самих клиентов"
Клиент: хочу отключить вот эту сомнительную штуку(QR-коды в приложении), чтобы обезопасить свои средства
Тинькофф: этого сделать нельзя.
Так же Тинькофф: "Мы делаем все возможное, чтобы деньги наших клиентов были в безопасности."
вот это вы заявление сделали! Я правильно понимаю, что кто-то может подсмотреть данные моей карты (да хоть продавец в магазине, вроде я по-прежнему обязан дать ему карту в руки, если он попросит, на ней, кстати, какие-то идиоты ещё и cvv код печатают, вы в курсе?), узнать мой телефон (а у нас сейчас все вместо карт лояльности телефон диктуют на весь магазин) и потом, как-то раздобыв дату рождения, зарегать новый личный кабинет?
Так сделать не получится. Продавцу, даже для проверки, нужна только лицевая сторона с вашим именем, на большинстве наших карт на этой стороне даже номера карты нет, как раз по этой причине. Помимо самого номера карты и телефона, нужен также код из СМС, которое поступит на ваш номер, чего продавец также не сможет получить.
ваш надзорный орган считает иначе, процитирую:
При использовании банковской карты для оплаты товаров и услуг кассир может потребовать от владельца банковской карты предоставить паспорт, подписать чек или ввести ПИН.
Мы говорим про карту конкретно. Для проверки нужен паспорт и имя на карте. Или паспорт и подпись на чеке. Имя и номер карты находятся на разных сторонах, поэтому даже номер этот продавец не узнает.
Т. е. по Вашему кассир настолько туп, что не может перевернуть карту....
Или не может установить пару камер, которые будут записывать данные карт с обеих сторон.....
Тинкофф - не знаю, кто у Вас там отвечает на сообщения - но опозориться такими заявлениями это надо постараться!
Чтобы проверить подпись на чеке - кассир ДОЛЖЕН сверить подпись с той, что на оборотной стороне карты. Т.ч. перевернуть кассиру карту - вообще не проблема.
А, зачем тогда нужна подпись на обратной стороне карты? В некоторых магазинах без неё у меня карту не принимали (редкость конесно, но вроде требование законное). Или на ваших картах такое не предусмотрено?
Вы можете также показать паспорт, на нем есть подпись, которая должна совпадать с подписью на чеке.
Я, не обязан носить с собой паспорт
Я уж молчу про то, что подпись не обязана соответствовать подписи в паспорте. Паспорт не является образцом подписи для сверки. Такого образца вообще не существует. Любая поставленная подпись не обязана соответствовать никакой поставленной подписи в прошлом. Большинство в РФ даже не понимает, что подпись это не ключ/шифр/знак/пароль, это тупо пометка о согласии с тем, что написано на бумаге. Это же так очевидно, потому что большинство людей после небольшой тренировки сможет повторить почти любую подпись.
Если документ реально важный, то должно требоваться писать фио полностью, чтобы по почерку можно было установить личность. Но не по подписи лол.
Кстати интересно, что когда менял паспорт, уже на получении два раза полностью переписывал бланк, потому что подпись в бланке на получение не была похожа на подпись в заявлении на смену паспорта. Для меня все мои подписи одинаковые и различия там были минимальны, но эта смогла доебаться.
Даже в цирк ходить не надо. Насколько же у нас в стране банкам (ВСЕМ БАНКАМ) срать на клиентов.
Комментарий недоступен
Комментарий недоступен
Справедливости ради, когда у меня в свое время был отказ по транзации и заблокирована карта - мне оператор мозг съел.
Выяснял все: и паспортные данные, и номер карты, и последние операции по счету и даже какой тарифный план у меня в Тинькофф-мобайле. Только после этого разблок произошел.
Неплохо у них с безопасностью.
Но вот эти qr-коды, когда, получив доступ к кабинету или приложению можно анонимно бабло снять, как мне кажется, нужно как-то отдельно подключать.
Комментарий недоступен
Комментарий недоступен
Согласен. Но одно дело - переводить на карту (да, понятно, что ее можно попробовать на какого-нибудь бомжа зарегистрировать), а другое - снять вообще без геморроя.
и, что главное, не оставив вообще никаких следов, чтобы их хотя бы теоретически можно было найти, прям находка для мошенников, надо, чтобы @Тинькофф рекламу сервиса запустил, а то они, похоже, ещё не знают.
Так я именно про это и говорю :)
Без геморроя вряд ли - во всех банкоматах стоят камеры. И не только в них самих, но еще и в тц, в которых они находятся, что в принципе делает поимку более реалистичной, чем в случае с регистрацией карты на очередного обнальщика.
По моему мнению в данном случае мошенники скорее обажались. Понятное дело, лицами они вряд ли светили, но косвенных признаков не оставить в этом случае не получится.
Комментарий недоступен
Рост, телосложение, откуда пришел, куда ушел. При выводе денег на карту даже таких данных вы не получите.
Комментарий недоступен
когда мне родственник перевёл деньги и я снял наличку, то Рокет тоже быстро отреагировал, заблокировал снятие наличных и долго пытался узнать, где я работаю, сколько зарабатываю и прочая, изображая заботу хз о чём. Но бог не ермошка, не сдюжили они с такими подходцами :)
Неплохо с безопасностью?
паспортные данныеПокупаются на любого человека за 900 р. прямо из системы Роспаспорт. Это уже не говоря о том, что скан паспорта или снимок у вас делают везде начиная от салона связи и заканчивая почтой.
номер картыМожет узнать огромное количество людей, в т.ч. любой кассир. Или также покупается через "пробив". Номер карты вообще не относится к секретной информации и его считается безопасным передавать кому угодно.
последние операции по счетуВидны при оплате через PayPass, например. Или можно точно также купить:
какой тарифный план у меня в Тинькофф-мобайлеhttps://habr.com/ru/post/461745/
Их минимальное количество и это можно легко даже просто угадать (а ведь при ошибке просят вспомнить и перезвонить, так что у злоумышленников не одна попытка).
Таким образом все эти данные не являются конфиденциальными и их можно засветить даже в одном единственном месте, где вы платили картой и показывали паспорт. Или купить в пределах нескольких т.р.
Так что там с безопасностью?
А причем тут "разберем ситуацию"? У вас же не решения по кейсу спрашивают (что, кстати, тоже было бы любопытно узнать).
А задают простой вопрос: можно ли отключить у себя эту достаточно странную фичу или нет. Что тут "разбирать"?
Вы имеете в виду возможность генерации QR кодов?
Йес. Или хотя бы подтверждение по смс или пушем.
Пушем, приходящим в приложение, защититься от действий третьих лиц в приложении?)
Ну, там личный кабинет был упомянут.
В целом - да. Если скомпрометировано - трудно что-то сделать.
Но решение простое: данную фичу подключать по телефонной заявке с обозначением кодового слова. Я, если честно, до прочтения данной статьи вообще о ней не подозревал.
Одно дело, когда деньги переводятся на счет. Другое - когда их хрен знает кто может снять. А что полиции делать? Да, есть видео банкомата. Но далеко не во всех городах ПРОЧИЕ камеры так развиты, как в МСК, например.
Комментарий недоступен
Хм... Платное отключение QR кодов... А это заманчивое предложение.
Представитель @Тинькофф так умело изображает непонимание! Олег Юрьевич, обратите внимание, далеко пойдёт!
Комментарий недоступен
Отключить генерацию QR-кодов нельзя.
Тогда сделайте как минимум СМС уведомление о выпуске и, например, фриз на 3-5 минут на снятие с момента выпуска QR кода, чтобы клиент мог отменить выпуск кода, если он не был санкционирован. И клиентов обезопасите и с себя ответственность снимете.
Передали информацию ответственным, чтобы рассмотрели такую возможность.
Комментарий недоступен
И у меня тоже запретите пожалуйста чтобы нельзя было выпустить никакие QR и ничего по ним снять
@Тинькофф вроде разобрали всё, что скажете по моему вопросу?
По вашему вопросу отдельно уточняем, еще вернемся.
Комментарий недоступен
В колл-центре мне сказали, что никак.
на vc иногда говорят совсем другое, чем в чате и по телефону, такая у ТКС работа с населением )
Комментарий недоступен
Надо будет провести эксперимент такой, как телефоном новым разживусь, попробую.
удобно
Единственный вариант обезопасить себя от любых снятий денег без вашего ведома, это пользоваться наличными. При этом у вас возникают другие риски.
То, что вы где-то поставите галочки и тп, никак не защитит ваши деньги от взломов системы банка. И дело тут не в системах банка, а в том, что при любых вариантах -наличных, безналичных, крипте и тп есть свои риски. И они будут всегда, пока существуют деньги.
так взломов системы обычно и нет, везде свои люди
но системы можно реализовать по-разному, с меньшим и с большим риском
В приложении есть кнопка "снимать наличные - ВЫКЛ"
Тоже вариант, но я иногда снимаю наличку, хотя не часто, конечно.
Сейчас нельзя отключить снятие по QR, но мы приняли ваш комментарий как обратную связь. Спасибо, что помогаете делать приложение лучше!
у меня вопрос назрел: банк трактует само снятие наличных по QR-коду как операцию совершаемую кем? Клиентом или третьим лицом?
Трактуем в каком контексте? Если клиент создал QR в приложении и передал его третьему лицу, то клиент согласен на операцию по этому QR.
Ну что, юристы банка за три рабочих дня не выяснили, как трактовать само снятие? Снятие (а не выпуск кода) осуществляет клиент Банка или третье лицо?
какая разница кто осуществляет снятие, если выпуск QR кода осуществляет клиент банка
Разница в трактовке данной операции с точки зрения законодательства, наверное. Это какой-то недоперевод получается, без идентификации получателя. По логике законодательства вообще непонятно как такая операция существует. Т.е. отправить более 15000р-предъявите паспорт, а тут получается до 300к за операцию и при этом получатель не идентифицирован- прекрасный инструмент для финансирования бородатых дядек бегающих по горам ну или кого-то более опасного, типа Хованского.
Есть операция по выпуску QR кода, совершаемая условно клиентом в личном кабинете, а есть операция по физическому получению наличных денежных средств, совершаемая с помощью банкомата, вот эту физическую часть кто совершает с точки зрения банка?