Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Прикольно. Тут с карты на карту знакомому деньги переводишь, Тинькофф просит подтвердить с помощью селфи (модно, стильно, молодёжно) и в то же время никакой защиты от таких вот манипуляций. Это печально. :(
кстати, заметил несколько дней назад, не требовало приложение никаких селфи и кодов не присылал банк, хотя я сделал со своей карты около 30 переводов на разные суммы более чем на 150тр. Раньше после 4-5 перевода за короткое время сразу нужно было подтверждать перевод. Очень странно.
вообще так и должно быть
поколение зумеров, которое привыкло, что у банка надо спросить разрешение, чтобы перевести _свои_ деньги.
причем тут зумер? не знаю ни одного человека, который бы за один час делал бы по 20 переводов с карты разным людям от делать нечего. 2-3-5 переводов у тинька всегда можно было сделать без всяких кодов подтверждения. А тут много переводов и банк вообще никак не реагировал на эти действия, хотя раньше все переводы после 3-5 раза уже просили код или селфи или кодовое слово. не путай мелкое с мягким. Это тоже самое, если бы потерять карту и нашедший пошел бы делать покупки картой на любую сумму без ввода пинкода, хотя лимит установлен.
банк должен исполнять все поручения авторизованного пользователя. баста!
Тебе кажется, что 20 много, а банку будет казаться, что и 2 надо через селфи подтверждать, кто границу будет устанавливать?
так банк и исполняет незамедлительно поручения, но когда он считает нужным проверить "авторизованность" пользователя, он это проверяет. Посредством кода или контрольного вопроса, после правильности которого он так же незамедлительно исполняет поручения. Мало ли у кого в руках в момент перевода находится телефон с банком, может пъяный друг решил подарить все бабки своего друга своим знакомым. А потом появляются статьи в инете, что банку ваще похрен на деньги своих пользователей и даже код в смс не присылают.
"так банк и исполняет незамедлительно поручения, но когда он считает нужным проверить"
это какая-то логика-нелогика
с такими людьми нет смысла обсуждать что-то
ЦБ РФ уже 3 года как установлены признаки операций без согласия клиента, при обнаружении которых банки согласно ст. 9 Закона о НПС обязаны приостанавливать операции и просить подтверждение у клиентов:
Утверждены приказом Банка России от 27 сентября 2018 года № ОД-2525
Признаки осуществления перевода денежных средств без согласия клиента
1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее – база данных).
2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных.
3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности).
115ФЗ
42