С дебетовой карты «Тинькофф» украли мои средства
Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Вы 161-фз вообще читали? Если операция совершена не вами и вы никаких кодов никому точно не говорили - то пишите заявление в банк указываете что в соответствии с п.11 ст.9 161-фз обращались к ним незамедлительно после обнаружения факта использования средствп электронного платежа без вашего согласия, что было не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. В соответствии с пунктом 12 ст. 161-фз После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Есть ли конкретные примеры, когда в подобной ситуации банк вернул деньги?
Дело в том, что в случае, описанном автором, любой банк без труда покажет, когда и с каких IP-адресов были сеансы доступа в личный кабинет и сформированы коды для снятия наличных. Поскольку клиент был аутентифицирован, все эти операции придется признать совершенными им лично, и далее спорить уже будет не о чем.
(да, и клиент тут в комментариях, кстати, признает что выдал "какие-то" данные мошенникам, так что советовать ему писать заявление о возврате средств не слишком... продуктивно).
Ключевой момент, что всю доказательную базу формировать будет сам банк.
Простите, не могу понять, о чем вы. У банка есть подробные логи и IP-адреса, которые можно сопоставить с данными провайдера (это через официальный запрос от органов). У вас - долгий разговор с мошенниками, в ходе которого вы им что-то сообщали. Тут, видите, не слишком выигрышное положение.
банк должен доказать что вы авторизовали операцию, либо это у них дыра. до преведения операции банк еще и должен уведомить что конкретно вы авторизуете, а не просто "код 1234". у банка есть для этого ресурсы - все логи, своя служба безопасности, большие договора и постоянное взаимодействие с операторами связт, взаимодействие с цб для определения что куда переведено. у пользователя всех этих ресурсов нет - отправлять его самого искать куда перевелись деньги абсолютно некорректно. Если бы однозначная публичная позиция ЦБ - возвращать все платежи (все операции по переводу - отменимы, а по снятию наличных - легко установить лиц кто снимал и взыскать с них), то случаев мошенничества было бы минимальное количество - гайки на авторизации операций, на проверке клиентов бы подкрутили и все.
Если операция была проведена через личный кабинет, любой банк легко покажет подробные логи, когда того потребует официальное разбирательство.
Но здесь может быть и другой сценарий. Давайте просто представим, что автор статьи передал мошенникам любые данные (секретные), которые потребовались им, чтобы восстановить доступ в личный кабинет и зайти в него. Естественно, все это тоже протоколируется. Какие претензии к банку остались бы в таком случае?
Ну и традиционный вопрос: вы мне что-то продали, я вам перевел деньги, потом пошел в банк и отменил операцию. Как вам быть в таком случае?
Какие именно, по вашему мнению, нужны секретные данные , чтобы восстановить доступ в кабинет Тинькова?
Насколько мне известно, без смс-кода доступ в личный кабинет Тинькова восстановить невозможно.
А чтобы сменить телефон необходимо ответить на вопросы живому специалисту Тинькова по телефону. И какие именно заранее неизвестно - они специально каждый раз запрашивают разные данные, и вообще у них там достаточно хитро все сделано.
Вы сами пробовали хоть раз менять свой номер телефона в Тинькове? И восстанавливать доступ к личному кабинету?
У разных банков набор этих контрольных вопросов разный, и при разных обращениях одного и того же клиента он тоже будет разный. В таких случаях, кстати, мошенник может держать жертву на линии, чтобы узнавать у него ответы на эти вопросы, которые банк ему задает по другой линии. Но в принципе, если вас интересует процедура у Тинькова, посмотрите здесь, например - там есть ответ представителей банка в комментариях: https://vc.ru/claim/278740-tinkoff-peredal-dostup-v-lichnyy-kabinet-banka-moshennikam-a-posle-krazhi-sredstv-vstal-na-ih-storonu
В данной теме Тиньков опять вводит клиента в заблуждение, утверждая, что решение вопроса возможно только через полицию и опять предлагает клиенту туда обратиться. И крутится как уж на сковородке по поводу получения доступа в личный кабинет.
Я опять не увидел ни слова про ответственность самого банка в рамках 161-ФЗ и то, что установить, несет ли банк ответственность или нет, и возвратить денежные средства по несанкционированным операциям может только суд, а не полиция.
Так может, проблема в том, что вы просто сами вообразили, будто бы в таких случаях, как описан здесь или там, наступает ответственность банка по 161-ФЗ? Если реальность раз за разом не соответствует вашим ожиданиям, то можно ведь разобраться, где у вас ошибка, и скорректировать себя. А если уверены в своей правоте, то почему бы не помочь автору хотя бы подать обращение в ЦБ через интернет? Они очень жестко дрючат банки, поверьте.
В каком смысле "я просто сам вообразил"? Ответственность установлена прямым текстом в федеральном законе.
Какая реальность не соответствует моим ожиданиям?
Еще раз предлагаю вам зайти в консультант и изучить 161-ФЗ, а также в ГАС Правосудие и почитать судебную практику, прежде чем оспаривать несение банками ответственности в рамках федерального закона.
Если банки незаконно отказывают клиентам, то это не значит, что это законные действия и банки правы. Также как это не означает и вынесение незаконных судебных решений.
Ну, я могу только повторить вопрос: есть ли конкретные известные вам случаи, когда по 161-ФЗ в подобной ситуации, когда жертва передала мошенникам "какие-то данные", банк вернул жертве деньги? Если да, то давайте смотреть. Нет, я не пойду читать ГАС.
То есть вы оспариваете ответственность, установленную федеральном законом, и предлагаете ДРУГИМ людям принести вам челобитную с соответствующими решениями? Чтобы вы великодушно рассмотрели?) Попахивает манией величия)
Не пойдете читать - ваше дело. Лично я не собираюсь больше тратить свое время и развеивать ваши иллюзии, если вам самому это не нужно.
Если бы вы хорошо разбирались в законодательстве и работе судебной системы, то понимали бы, что при вынесении решения в пользу клиента или банка имеет значение множество разных нюансов и обстоятельств как процессуальных, так и внепроцессуальных.
И что банком доказывается не передача "каких-то данных" клиентом, а факт нарушения клиентом правил использования ЭСП, которое привело к совершению соответствующих операций. А также факт надлежащего уведомления клиента о данных операциях. И еще факт подтверждения распоряжений клиента своей подписью или аналогом собственноручной подписи.
Понятно, то есть вам нечего сказать.
Я был уверен, что вы ответите именно так) Полностью проигнорировав написанное) Да, вы отчасти правы, лично вам мне сказать больше нечего. Но не в целом по теме.
Ваше право и дальше оставаться в своих иллюзиях. Только не утверждайте, пожалуйста, больше ничего голословно по поводу норм федеральных законов. Не вводите других в заблуждение вашими утверждениями о том, что в законах не указано то, что там указано.
Ну вот видите, что-то в вашей голове даже подсказало, что вам нечего сказать, но тем не менее вы отправили бессодержательный комментарий, находясь в состоянии внутреннего противоречия. Это не очень хорошо, т.е. не очень выгодно, если бы вам нужно было решать какую-то свою реальную проблему.
Еще одна ваша иллюзия) Нет, что-то в голове подсказало мне, что мне больше нечего сказать тому, кто меня не слушает и не хочет/не может увидеть и понять смысл написанного. И да, дальнейшее переписка с таким человеком это не очень хорошо, так как невыгодно тратить время на общение с подобными собеседниками. Так как это не помогает решать никакие реальные проблемы.
Подумайте, а как лично вы можете помочь автору статьи с решением его реальной проблемы? Может быть, подать жалобу в ЦБ? Может быть, грамотно составить иск в суд? Может быть, подключить следственные органы? Каким могло бы быть ваше личное участие?
Ну как, все еще нет желания поинтересоваться у автора, какую информацию он передавал мошенникам в течение 80 минут? Может, Team Viewer даже ставил по их просьбе?:)) Или это не имеет значения для вас? https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3476503
Да, автор поставил Team Viewer, сообщил мошенникам свой ID, подтвердил входящее подключение или настроил автоматический доступ и полтора часа наблюдал, как на экране его телефона выпускаются QR коды?)
Даже если автор передал им свой логин и пароль от личного кабинета, а также код из смс, по словам банка коды были выпущены именно с устройства автора, а не с устройства мошенников. Так что дело явно не в том, что именно сказал по телефону автор.
Я, кстати, был уверен, что банк ответит именно так плюс-минус. Стандартная позиция банков в подобных случаях.
Он преимущественно полтора часа разговаривал по этому же телефону, вы забыли, что ли? ;)))
А может, и не Team Viewer ставил, а что-то другое, дающее мошенникам доступ. Вас это не интересует? Где автор-то?
Вот у него тут характерная такая реплика была: "Шпионский софт/через плечо в метро пароль подсмотрели/клонировали симку и т.д., это конечно всё хорошо, но меня больше интересует почему системы безопасности Банка не реагируют на нехарактерное снятие наличных..." - то есть сама интонация как бы подсказывает, что он-то сделал что-то для мошенников, но вот почему банк разрешил снимать наличку, вот это возмутительно... :)
Меня, конечно же, интересует как можно получить доступ именно к приложению Тинькова и делать в нем что захочешь от имени клиента. Попахивает лютой дыришей в безопасности. Я понимаю, как получить доступ к смс, но как получить доступ именно к функциям стороннего приложения незаметно для владельца телефона, мне пока не ясно. Единственный вариант, который приходит в голову, - это удаленный рабочий стол, но у автора телефон перед глазами должен был быть. И удаленный стол все равно надо настроить, сообщить свой айдишник либо скачать дистрибутив именно от мошенников.
Когда вы говорите по телефону, то у вас там по умолчанию именно звонилка на весь экран. Через удаленный стол мошенники должны были бы вывести на экран именно приложение Тинькова. Но это уже надо разбираться в тонкостях работы Андроида. Можно ли например подключиться к приложению Тинькова в фоновом режиме. Очень в этом сомневаюсь.
Я думаю, автор здесь просто перечислил основные виды мошенничества, а не свой личный опыт. И меня тоже очень интересует и возмущает, почему банк не усмотрел признаки переводов без согласия клиента согласно п. 9.1 ст. 9 161-ФЗ и позволил беспрепятственно неоднократно снять крупные суммы денег в новом для автора городе новым для автора способом:
В случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные частями 5.1 - 5.3 статьи 8 настоящего Федерального закона. При получении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств обязан незамедлительно возобновить использование клиентом электронного средства платежа. При неполучении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств возобновляет использование клиентом электронного средства платежа по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 статьи 8 настоящего Федерального закона.
А жертва передала? С чего вы взяли?
1) читайте комментарии самой "жертвы" - https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3473414
2) банк уже ответил, что там произошло, так что версия с "восстановлением доступа" по личным данным неактуальна - https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3476503
1. из комментариев жертвы следует что ни каких существенных для обсуждения данных передано не было
2. в ответе банка про передачу данных вообще ни чего нет
Нам не о чем с вами переписываться, вы не читаете мой ответ :)))