Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
ТС, вы с ПК заходили в ЛК банка?
нет, через мобильное приложение
ios, android?
android
ставлю на то, что у вас установлен какой-то шпионский софт на телефон. я вообще не рекомендую ставить банковские клиенты на ведро, а если и есть в этом такая необходимость, то это должен быть второй телефон, не основной, выделенный чисто под банкинг...
Шпионский софт/через плечо в метро пароль подсмотрели/клонировали симку и т.д., это конечно всё хорошо, но меня больше интересует почему системы безопасности Банка не реагируют на нехарактерное снятие наличных в достаточно крупных суммах, несколькими операциями в другом регионе.
Да мне кажется это прямо очень легко сделать. Приложение например при запуске проверяет где находится клиент. Снятие в 100км от последней точки блочить сразу и всё. Если приехал в другой город, то запустил приложение, позиция обновилась...
эта фича с кр-кодом от тиньтка позволяет снимать не по своему расположению
Личный фэйл
через плечо в метро пароль подсмотрелиЛичный фэйл.
клонировали симку и т.д.,Не личный фэйл. Но, как я понимаю, смотрится не только IMSI, но и IMEI. Можно подделать? Да, конечно. Если понимать, что окупится и если знать IMEI. А, если понимать - опять же личный фэйл.
меня больше интересует почему системы безопасности Банка не реагируют на нехарактерное снятие наличных в достаточно крупных суммах, несколькими операциями в другом регионе.А вот меня десять лет назад другое напрягло. Когда сбер по карточке, выпущенной в Самаре, при снятии наличных в МСК ее заблокировал нафиг. И, типа, надо ехать в отделение выдачи. В итоге отчасти пошли навстречу: от банкомата звонил в поддержку, карту на 5 минут деблокировали, снимал бабло и блок ставился обратно. После 3 месяцев такого своеобразного секса плюнул и сменил банк.
Согласитесь, что вы сами накосячили. Либо с аппликухой, либо со звонком.
Но интересно другое. Банки тут хвалятся, что у них там встроенные антивирусы в приложениях есть. И как тогда смогли информацию сграббить?
Комментарий недоступен
согласен, это такая, элементарная гигиена в 21м веке
С этого нужно было начинать. Я не представляю как можно в здравом уме использовать ведроид для чего то кроме разработки приложений под этот самый ведроид (исключительно без симки и выключенными модулями wifi/bt). Даже если в этом конкретном случае вдруг виновата окажется не дырявость ведра, в следующий раз вполне вероятно окажется виновата именно она.
Комментарий недоступен
Комментарий недоступен
Даже при идеальной системе в случае, если юзер установил какую-то каку - возникнут серьезные проблемы. Да, к самой системе доступа не будет (не берем случаи, когда пользователь от админа работает), а вот к пользовательским данным - вполне. Разумеется, пользователя спросят сначала - но кто особо читает уведомления?
И причем тут андроид? Это и на винде так, и в макос. В какой-то древней версии линухового ядра даже песочницу ухитрялись обходить.