Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Комментарий недоступен
чтобы я не успел сам позвонить в Банк и заблокировать карту после первого снятия
Комментарий недоступен
Комментарий недоступен
не верифицируется
Комментарий недоступен
Проверяли у пары друзей, коды не приходили, QR-код выпускался при этом.
Подтверждаю, код не требуется.
@Тинькофф вы ебанулись?)
заштопайте дырку
Подтверждаю у меня тоже не попросило смс в приложении.
Сделайте видео запись того что не потребовало смс теперь это проблема тинькова
Тут есть небольшая подсказка (это не только про Тинькова, но и про другие банки) - левому человеку попасть в банковское мобильное приложение, чтобы хоть что-нибудь сделать, не так-то просто. Если уж попал, то отправка еще одного кода не усиливает безопасность.
Усиливает, причем радикально.
Ну смотрите, если я мошенник и только что принял код, чтобы войти в приложение, как мне помешает еще один код? Я точно так же его введу. У меня, может, ваше приложение уже привязано к моему номеру телефона, а не к вашему - вы же сообщили информацию, чтобы это сделать. Вы даже больше не нужны.
Ну если оно уже привязано к номеру телефона мошенника и при этом клиент не получал сообщение о том что его номер изменён, это уже большой вопрос к Банку по части безопасности, нет? А если не привязан, то каждое сомнительное сообщение увеличивает вероятность, что клиент сам перезвонит в банк и карта будет заблокирована.
Мы не знаем, что конкретно было в вашем случае. Вы ведь и сами не все рассказываете. Интересно было бы увидеть здесь ответ от банка с хронологией событий.
Небольшая оговорка: если банк представит достоверную хронологию событий.
Именно поэтому и существует судебная система, чтобы профессионально разрешать споры по определенным процессуальным правилам.
Я уже писал, что только после прохождения всей цепочки вплоть до Верховного Суда, возможно неоднократного, можно будет быть более-менее уверенным, что дело было нормально рассмотрено, и все обстоятельства дела были правильно установлены. И даже это не является 100% гарантией.
банк не раскроет, даже очень хороший, суперклиенториентированный и публичный не раскроет - к сожалению это угрожает безопасности банка и его клиентов. банк должен просто вернуть средства и начать разбираться кому он там деньги отдал/перевел. Либо иметь неопровержимую цепь событий что это сделал сам клиент.
Вы считаете, что банк не раскроет, что конкретно произошло в данном случае?
вы тему тут прочтите целиком, и выяснится что смс не шлется при QR хотя судя по тексту в приложении должно. что будет дальше - тиньков наконецто начнет проверять а не устроил все сам клиент, и если выясниться что нет однозначности что это клиент, фича будет заблокирована, наконец-то вернут ему деньги, хотя должны были сразу по 161-фз, через службу безопасности начнут искать с камер банковатов кто конкретно снял. данная вся тема, по договоренности с клиентом просто исчезнет с сайта и все.
Мне тоже повторить ответ?:))
QR-код можно создать, имея доступ в личный кабинет, то есть только пройдя аутентификацию. Вы не поняли разве? Нужно дойти ровно до туда же, до куда требуется, чтобы перекинуть деньги кому-то на счет. Если в сценарий автора добавить дополнительный СМС-код, это ничего не изменило бы - мошенник получил бы его и ввел, так как действовал уже со своего устройства.
Я у вас про другое спросил - вы считаете, что банк не раскроет, что конкретно произошло в данном случае?
Я вам там ответил по чему вы не правы. Банк требует для авторизации ровно то, что было спроектировано для нее. Аналогия - требуется паспорт-подпись, а тут оператор банка в лицо вас узнает и выдает деньги - это разная авторизация. Банк при этом должен вернуть деньги на счет и потом ковырять этот случай (в случае аналогии с паспортом - поднимать записи с камер и доказывать в суде что это действительно был клиент, а не похожий чел). А вот выносить косяки на публику - такой обязанности у банка нет, и банк либо соберет доказательную базу что клиент сам себе злобный буратино и все подстроил, либо заключит с ним соглашение чтоб он потер все это с сайта и побыстрее. Столко раз уже было.
Если разница во времени большая между входом в приложение и операцией, то за это время многое может случиться. Если же разница во времени минимальна, то да, второй код тоже будет легко получить.
В любом случае согласно законодательству необходимо подтверждать КАЖДОЕ распоряжение на перевод средств, в том числе заранее данный акцепт, собственноручной подписью или аналогом собственноручной подписи.
Вот тоже изумляет, когда при совершении операции в приложении банка (не тинькоф) просит код, приходящий через пуш этого же приложения. Причем код автоматически подставляется, остается только нажать кнопку подтвердить. Так и не понял смысл сего действа, от чего защищает - хз. Ладно бы по другому каналу шло, по смс там, был бы смысл, но нет же, подтверждать операцию через пуш приложения, совершаемую в самом этом приложении - какой-то оксюморон.
Это неквалифицированная подпись.
Можете более подробно раскрыть свою мысль, если не сложно?
Факт того, что вы ввели смс, считается фактом наличия неквалифицированной подписи. Т.е. заверяет соответствующий электронный документ. Если нет смски - то и документ не подписан. В этом смысл действа)
Так в том-то и прикол, что не через СМС приходит. А через пуш-уведомление самого приложения.
Надеюсь додумались делать это под видеозапись.
Кстати видео пускай сохранят со своих же банкоматов. Там будет видно, что снимает деньги не автор топика.
:)))
QR-коды - это для того, чтобы снимать определенную сумму НЕ автору топика. Читайте другие комменты хотя бы.
142,5 %, что дроп соблюдал все короновирусные правила. Возможно даже в озк и в противогазе пришёл.
Запись не требуется. Если смс с кодом не приходят, то их не будет в детализации оператора. Может быть Тинькофф шлёт пуши в приложения для защиты приложения?)
Этот момент мы тоже обязательно проверим.
Проверил, кода никакого не запрашивают при создании QR через мобильное приложение.
Комментарий недоступен
инструкция - это ожидаемое и описанное состояние системы, по ощущениям, у них что-то разъебало в настройках и заметили, только благодаря этому случаю.
Либо пограничные значения настроек, конфликтующие, о которых не знали при реализации.
Комментарий недоступен
Привет! Выше несколько пользователей уже отписались, что инструкции не соответствует реальному поведению системы, так что это не только ощущения.
Нет, доступом не пахнет, скорее смесью дурости пользователей и слетевшей настройкой подтверждения, которая есть в инструкции.
Исхожу из опыта подобных ошибок в одном из крупнейших екомов, когда пользователи могли катать заказы "в кредит" пользуясь тем, что одна из валидаций на проде слетела. Повезло, что никто не заметил за 1.5 месяца и отделались мокрыми штанами у лида команды, отвечающего за систему. И да, СБ так об этом и не узнала, ибо логи чистые, ущерба нет.
Судя по всему, мошенники отследили вход автора в приложение и запуск активной авторизованной сессии с серверами Тинькова. И дальше позвонили ему с одной главной целью - удерживать внимание автора до завершения всех мошеннических операций дистанционно через активную сессию автора.
Из-за того, что у Тинькова после входа в приложение не подтверждается каждая отдельная операция, и даже не направляются уведомления, в том числе о выпуске QR кодов, автор был не в курсе, что во время разговора от его имени через его активную сессию с серверами Тинькова от его имени выпускаются QR коды.
Данное предположение более подробно разобрали в этой мини-ветке:
https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3478172&from=copylink&type=quick