Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
40 минут мариновали, и ничего не спросили.
Кого вы тут пытаетесь обмануть?
Вы им или коды диктовали, или скачивали тимку, или что то подобное.
Не бывает такого, что вы им ничего не предоставили, а у вас спёрли деньги.
Тогда бы всю страну так за месяц обворовали.
Что то вы недоговариваете
Мне вот например очень хочется верить, что он им что-то сказал, потому что если нет, то это очень страшно, в опасности каждый))
Конечно сказал, иначе и быть просто не могло.
Кого он тут обмануть пытается?
А вы получается рядом с автором сидели там?) Или рядом с мошенниками?) Рядом с кем свечку держали, признавайтесь?)
Комментарий недоступен
Я борец с несправедливостью и нарушением прав. Неважно, с чьей стороны. В данном случае мошенники и банк плохо себя ведут, а не автор по имеющейся информации.
Где именно признавался и какие именно данные, укажите ссылку, пожалуйста?
Комментарий недоступен
Какие-то? Давайте, вы сначала точно назовете, какие именно, а потом будете что-то утверждать.
Если он рассказал мошенникам, например, что кушал с утра на завтрак овсянку, то на что это могло повлиять?
Самое главное, что автор не сообщал смс-коды и пин-код. Остальное все не особо важно.
Я говорил, что банк плохой в первую очередь в том плане, что ввел автора в заблуждение относительно прав и обязанностей автора и банка в данной ситуации.
И какие бы данные автор не передавал мошенникам, это в любом случае не отменит уже произошедшего недобросовестного поведения банка в данной ситуации и введение банком клиента в заблуждение.
Кроме этого банк оказал некачественную финансовую услугу автору, так как не обеспечил надлежащую безопасность доступа к формированию распоряжений на перевод денежных средств.
Комментарий недоступен
Прочитайте еще раз, пожалуйста, в чем именно я обвиняю банк. И я исхожу из представленной автором информации. Если банк докажет, что это не так, то обвинения будут сняты.
По закону именно на банке в данном случае лежит бремя доказывания - именно он должен доказать, что клиент не прав и банк оказал качественную услугу.
Смотрите, мы-то поняли вас в целом, что вы за социалистическую справедливость и против буржуев. Вы уже уверены, что банк должен вернуть деньги по заявлению клиента. Но почему вас не интересует, какие конкретно данные жертва сообщила мошенникам в ходе долгого разговора? Ведь это могли быть не только коды из СМС. А например, набор данных, позволяющих идентифицировать клиента с помощью контрольных вопросов. Или что-то еще. Почему вам кажется, что клиенту можно это утаить, но банк при этом безусловно виноват?
Я нигде не говорил, что я за социалистическую справедливость и против буржуев. Если бы автор был мошенником и откровенно пытался в данной теме развести банк, то я был бы уже на стороне банка.
Также я нигде не говорил, что банк ДОЛЖЕН вернуть деньги по заявлению клиента. Я говорил о том, что банк НЕ ДОЛЖЕН вводить клиента в заблуждение относительно прав и обязанностей клиента и банка в данной ситуации. А банк, утверждая, что они ничего не могут сделать, и отправляя автора в полицию, вводит автора в заблуждение и заранее снимает с себя ответственность без проведения надлежащего юридического разбирательства.
Где я указал, что банк БЕЗУСЛОВНО виноват именно в незаконном переводе денежных средств? Я указал только на то, что банк несет ответственность и бремя доказывания согласно 161-ФЗ, но при этом вводит клиента в заблуждение и уклоняется от надлежащего юридического разбирательства по данной ситуации.
И какие данные сообщил автор мошенникам должен выяснять тоже именно банк, чтобы установить, нарушал ли клиент правила использования ЭСП или нет согласно 161-ФЗ. Но банк пока это опять же не сделал.
Каким образом банк "уклоняется"?
Автор написал:
"Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем."
То есть все, что сделал банк за 20 дней в данном случае - это сообщил клиенту, что якобы безопасность личного кабинета - это ответственность клиента и что клиент должен обратиться в полицию, и тогда они помогут с расследованием.
А теперь сравните действия банка с его реальными обязанностями по 161-ФЗ.
Ну, я уверен, например, что одной этой фразой ответ не ограничивается, а вы как считаете? Ведь не может же быть ответ на официальном бланке в виде одного этого предложения? Нет ли у вас впечатления, что автор скрывает некоторую часть информации? Кроме того, представитель банка вроде бы обещал дать ответ здесь, нет ли смысла дождаться его?
Почему вы решили, что "не может"? Вы сами много с банками официально общаетесь как потребитель? Это называется в народе "отписка".
Банки иногда вообще просто сообщают, что в удовлетворении вашего требования отказано. И все, без каких-либо пояснений и объяснения причин. И даже не письменно, а звонком по телефону, хотя просишь их ответить на электронную почту.
У меня лично пока нет впечатления, что автор что-то важное скрывает и в чем-то обманывает.
Достаточно ли для вас того, что автор в тексте статьи вообще не упоминает, какую информацию передавал мошенникам, а в комментариях упоминает, что передавал "какую-то", без конкретизации?
Я уже подробно отвечал вам на данный вопрос. Повторю еще раз кратко.
Автор не передавал смс-коды, пин-код и кодовое слово. Это главное. Остальная информация второстепенная. Если можно восстановить доступ в личный кабинет банка по второстепенной информации, то это дыра в безопасности.
Пожалуйста, не надо мне задавать тот же самый вопрос в третий раз.
У каждого же клиента есть знания как устроена авторизация в банке, на какие счета и что конкретно он авторизует, уровень рисков контрагента по данной операции, связи с опсосами и цб и своя служба безопасности? Или все это только у банка есть, а клиент по-факту расследовать сам никак не может?
Почему клиент не может? Может добиться возбуждения уголовного дела и по официальным запросам следователь получит всю нужную информацию. Только видите в чем дело, в данном случае следователь посмотрит на автора статьи устало и скажет: "слушай, ну ты уже десятый за неделю, неужели ты сам не врубаешься, что ты сам и отдал им все данные?"
Автор статьи не глуп, просто он понимает уже, что на него надавили мошенники и в органы он не пойдет. Дает подсказку и то, что он не пишет, какую именно информацию передал мошенникам.
Автор статьи прямым текстом указал, что обратился в органы ) желаю Вам разочек столкнуться с тем как у нас ведется следствие и каков уровень компетенции сотрудников следственных органов в технических вопросах)
Я сталкивался с тем, как ведется следствие в подобной области пару раз, и непосредственно общался с такими сотрудниками (не будучи заинтересованной стороной). Уверен, что уровень компетенции бывает разный. Я ничего плохого сказать тут не могу. Знаю только, что сотрудники испытывают заметную усталось от однотипности сценариев, по которым люди становятся жертвами. Но в целом лучше в такие ситуации не попадать, конечно.
Органы - дно в этом плане.
У жены списали деньги с карты на доставку Яндекс.Еды. Милиция задавала следующие вопросы:
- с кем живете
- кто имел доступ к телефону
- кем работаете и кем работает муж
- какие программы устанавливали на телефон (у нее iOS, если что)
- приходите с телефоном, посмотрим какие программы стоят
Ни в банк, ни в Яндекс никаких запросов они не направляли, конечно же. Через 2 месяца тупо закрыли дело.
Так вполне грамотные вопросы, разве нет?
клиент сам не может расследовать, банк - может сам, у него даже реквизитов всех нет. Разве я не прав? Может клиент отозвать сам платеж? Нет! Направить клиента к ментам, в цб, к опсосу - это просто отфутболить его с "его проблемой". А клиент может даже и не авторизовывал операцию (он что знал что безотзывно дяде переводит - банк об этом указал? нет)
Чтобы это обсуждать, нужно делать это на каких-то общих понятиях. Если вы знакомы с законом о банковской деятельности в данной стране - то пожалуйста.
естественно я знаком. я и в первом сообщении указал первоначальному автору что по 161-фз банк ему должен вернуть средства. Если банк потом считает что клиент все знал и он сам мошенник - нет проблемы подать в суд на клиента или по регрессу все взыскать. KYC - банк-то же знает все о своем клиенте.
Есть ли конкретные известные вам случаи, когда по 161-ФЗ в подобной ситуации банк вернул жертве деньги?
А то, что уже сколько лет можно подставлять в звонок любые номера это типа так, никто не замечает? Имхо опсос должен при таких темах половинку то докидывать, вместе с горе банком.
Вы отвечаете на мой комментарий, но я не уловил смысл вашей реплики. Опсос - то есть оператор сотовой связи? В чем его вина? Мошенники звонят через IP-телефонию, вам можно было бы в Роскомнадзор направить вопрос.
Вина их в том, что этой дыре уже годы и никто за это ответственности не несет. Пока не начнут их штрафовать нормально, она и не закроется.
Не странно ли то, что вы предлагаете банку или даже сторонним комментаторам назвать, какие конкретно данные автор статьи передал мошенникам, но не интересуетесь этим у самого автора? Давайте просто представим, что он передал им любые данные (секретные), которые потребовались мошенникам, чтобы восстановить доступ в личный кабинет и зайти в него. После этого какие конкретно претензии к банку у вас остались бы?
Понимаете, автор в данной ситуации жертва. То, что он какие-то данные передал под психологическим воздействием мошенников, не делает его виноватым. Его права в данной ситуации как более слабой и уязвимой стороны договора защищаются действующим законодательством.
Важно, что автор не передал самые главные данные - смс-коды и пин-код. Если же передача каких-то данных, кроме прямо запрещенных к передаче третьим лицам, может привести к несанкционированному доступу в личный кабинет, то да, это претензии к банку о том, что он не обеспечивает надлежащий уровень безопасности.
Если банк не согласен с этим, то повторяю, именно на банке лежит бремя доказывания нарушения клиентом правил использования ЭСП. Пусть доказывает, что клиент передал данные, которые нельзя было передавать по правилам использования ЭСП в рамках договора с банком.
Если банк в договоре с клиентом прямо не указал, какие именно данные клиент не должен сообщать третьим лицам, то у клиента и не возникает соответствующей обязанности не сообщать эти данные, и, следовательно, нарушения правил пользования ЭСП.
Если защищаются законодательством, то есть ли конкретные, описанные в медиа, в судебных решениях прецеденты возврата средств клиенту, который находился под психологическим воздействием мошенников? Вот вы часто пишете про 161-ФЗ - по нему, например?
Вы можете самостоятельно зайти в ту же ГАС Правосудие и изучить судебную практику. Практик по подобным случаем огромное количество как в пользу клиентов, так и в пользу банков. Как оспоренных, так и не оспоренных. И можете поискать в конкретных решениях интересующие именно вас обстоятельства дела.
В той же статье РБК из данной темы один из экспертов приводит пример:
"Партнер юридической компании «Деловой фарватер» Роман Терехин предлагает обосновать претензии к банку по статье 847 ГК РФ. По ней клиент должен подтвердить свое распоряжение о списании средств собственноручной подписью, введением кода или пароля. Терехин говорит, что пока факт компрометации ключей и паролей по вине клиента не доказан, клиент остается прав. По его словам, доказывать правомерность операции должен именно банк. В противном случае он обязан возместить потери.
Терехин приводит в пример похожее дело, рассматривавшееся Приморским краевым судом против Сбербанка. Тогда суд поддержал клиента банка в похожей ситуации, так как банк не доказал, что истец разгласил пин-код, номер карты или иные сведения. Также не было доказательств передачи карты другим лицам или несоблюдения клиентом мер предосторожности пользования картой."
Так мы все читали это. В подавляющем большинстве случаев речь и идет о "факте компрометации ключей и паролей по вине клиента". Из этих клиентов большинство понимают свою вину, ну а небольшая часть идет в суд. Наверняка какие-то непростые случаи бывают, но явно не этот.
Авторизацию разработал банк. Точка. Он мог раздать всем дигипассы, но сделал авторизацию дешевле, но и риски при этом больше. Не клиент. Клиент не видит кому и куда уходят деньги - какой счет и какой инн. Банк видит все детали и может даже отклонить сам.
Послушайте, уже не особо продуктивное обсуждение идет. Вот что Верховный Суд постановит по данному делу, если до него дело дойдет - на то и будем ориентироваться.
Но, чтобы до него дело дошло, необходимо соблюдение всех остальных юридических процедур. Банк пока от этих процедур уклоняется и по словам автора даже не предлагает обратиться к банку с претензией, а потом в случае отказа к финансовому уполномоченному и в суд. Только сообщает, что автор сам виноват и должен идти в полицию.
Смысл этих кодов, грубо говоря, как раз в том, чтобы другой человек мог получить деньги без карты, хоть в другом городе.
Какой смысл вообще самому себе создавать коды? Если ты можешь с той же карты просто снять деньги.
А бывают добропорядочные мошенники которые хорошо себя ведут 😁
В жизни всякое бывает, это точно) Еще те волки в овечьей шкуре))
Это просто тролль
Мне наоборот, даже обидно ,поверьте. У меня в одном из банков, которым тут часто достается от ребятишек, постоянно вращаются несколько миллионов - и вот так уже не первый год. Почему мне никто не звонит, не сообщает точный баланс и не просит перевести деньги "на страховой счет"? Почему я не просыпаюсь от уведомлений, что средства переведены в другие города и обналичены? Почему, ну я же должен быть им интереснее, чем кто-то с десятками тысяч? Алё? Где все эти "крысы в банках", которые "сливают инфу"? Почему вы не обращаете на меня внимания? :))
не понтуйся, дядя
попросишь неприятностей — придут
Не понял, несколько миллионов - это что-то статусное в вашем восприятии?
При чём тут твои миллионы? Со второй строчки читай, понимай.
А вы "крыса в банке" или мошенник? Как вы себя позиционируете?
я так тоже думал, пока не позвонили и не сообщили мое ФИО с точным балансом :) положил трубку и больше не брал. Ничего нигде не сняли, естественно
В техподдержку банка только сбросил номер телефона, с которого звонили. Естественно, там мне сказали, что банк не звонил, и это были явно мошенники
Даже если несанкционированного доступа не было, баланс и номер карты часто узнают с помощью чеков из банкомата, выброшенных в мусор, и взгляда "из-за спины". Дальше эти данные бьются с базами людей и номеров телефонов, где мы все уже слиты по сто раз. Тут ранее рассматривали такие сценарии.
+ да, и базы с номерами карт вроде бы имеют хождение, если люди платят ими в интернете - тут специалисты по даркнету лучше подсказали бы.
если вы внимательно следите за темой по зеленый банк до недавнего времени просто на АОНе определял ваш номер и называл баланс карт. Подразумевая что только клиент может с него позвонить (а это не так). И если вы внимательно прочтете всю эту тему целиком, то выяснится что и обсуждаемый в теме банк не всегда отправляет смс при генерации каких-то собственно придуманых QR кодов по которым он кому-то потом средства может в банкомате выдать.
QR-код можно создать, имея доступ в личный кабинет, то есть только пройдя аутентификацию. Вы не поняли разве? Нужно дойти ровно до туда же, до куда требуется, чтобы перекинуть деньги кому-то на счет. Если в сценарий автора добавить дополнительный СМС-код, это ничего не изменило бы - мошенник получил бы его и ввел, так как действовал уже со своего устройства.
если для авторизации перевода нужно было сделаны шаги 1-2-3, а выясняется что хватает всего и 1-2, то это косяк системы авторизации. то есть клиент и не авторизовал по смс выдачу QR, а банк все равно исполнил. и при этом банк не пошел вернул ему сразу, и полез разбираться а в полицию его отправил - это основное нарушение.
Уже не актуально:) https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3476503
то что тиньков не любит возвращать утраченные средства клиенту это априори известно и как раз в этом состоит весь тред. сейчас пока выходные и в выходные никто ничего ему не вернет точно. Но в заскриненом приложении при этом ясно написано что что придет смс-код? а он же не приходит. Значит однозначно уже пошло не так как было запроектировано - где там конкретно косяк знает только банк.
Здесь кто-то ошибочно написал, что якобы в справке банка указано, что придет СМС-код подтверждения. На самом деле там написано, что придет уже сгенерированный QR-код в уведомлении. Но никто же не проверяет, что там написано на самом деле:)
Ну и, конечно, никакой банк не возвращает "утраченные средства", если клиент был должным образом идентифицирован и средства списаны по его распоряжению. Насчет возвратов - это здесь просто стойкая фантазия у людей, которые любят комментировать, но не любят читать. Есть, конечно, случаи, когда у банка нет подтверждения, что (например) уведомление было отправлено, это технический момент - тогда через суд можно решить вопрос. Но уж точно не в таком вопиющем случае, как тут:)
Зачем тогда звонить клиенту если он ничего не сказал?)) думаешь мошенники хотели поговорить?
Конечно, он им что-то сказал, иначе зачем ему звонить?
Деньги сняли во время разговора.
Их не спёрли втихую, получив доступ в личный кабинет, используя перехват смс или ещё что-то
Комментарий недоступен
Мариновали, чтобы отвлечь и не дать вовремя позвонить в банк.
Да так и есть, первое всегда должно насторожить назойливость сотрудников банка...И с какой целью звонок? Я обычно всегда отклоняю когда мне звонят в кавычках представляясь сотрудником банка...
Согласен, что-то в истории явно упущено. Ну или пароль от личного кабинета у него qwerty
Как ты узнал мой пароль?
Блин, и мой!!! Сергей, что-то ты темнишь! :)
Но, вообще, при заходе с компа там смс-подтверждение. Хакнут, похоже, был телефон.
Я вам не передавал свой пароль! Откуда он у вас?! Вы хакер! Напишу на вас в полицию!!!11
Бха.
Разговор - чтобы отвлечь внимание от СМС-уведомлений. Дабы быстро не спохватились и не перезвонили немедленно в саппорт.
Причем ведь видели СМС, что странно. И повторные СМС, что делает ситуацию еще страннее. И 40 минут разговора с "поддержкой" - это, конечно, трындец.
Вывод: либо ситуация высосана из пальца, либо автор настолько не разбирается, что смог поставить трояна, пробившего систему безопасности приложения (какой-нибудь хитрый логгер, например) а затем 40 минут общался с говорящей головой.
Только неясно, в чем тут виноват Тинькофф.
тиньков виноват что по 161-фз именно банк должен вернуть средства или доказывать что именно клиент, и именно он (не троян, не бот, не мошенник из другого города с клонированной симкой), провел авторизацию платежа и при этом ему были направлены все сообщения раскрывающие суть операции. а не футболить своего клиента и советовать идти ему в полицию. А если операция все же не его, то там на банкомате камера есть - они могут сами или через полицию найти кому же они деньги выдали, возбудить дело и взыскать все обратно через суд по регрессу. А пока они клиенту ничего не выплатили у них даже юридически убытков нет чтобы с кого-то взыскивать, даже если мошенник им лично известен.
Ага где-то сам лоханулся, сча бы по qr коду бабки с чужой карты себе переводить )