С дебетовой карты «Тинькофф» украли мои средства
Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Вы 161-фз вообще читали? Если операция совершена не вами и вы никаких кодов никому точно не говорили - то пишите заявление в банк указываете что в соответствии с п.11 ст.9 161-фз обращались к ним незамедлительно после обнаружения факта использования средствп электронного платежа без вашего согласия, что было не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. В соответствии с пунктом 12 ст. 161-фз После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Есть ли конкретные примеры, когда в подобной ситуации банк вернул деньги?
Дело в том, что в случае, описанном автором, любой банк без труда покажет, когда и с каких IP-адресов были сеансы доступа в личный кабинет и сформированы коды для снятия наличных. Поскольку клиент был аутентифицирован, все эти операции придется признать совершенными им лично, и далее спорить уже будет не о чем.
(да, и клиент тут в комментариях, кстати, признает что выдал "какие-то" данные мошенникам, так что советовать ему писать заявление о возврате средств не слишком... продуктивно).
Ключевой момент, что всю доказательную базу формировать будет сам банк.
Простите, не могу понять, о чем вы. У банка есть подробные логи и IP-адреса, которые можно сопоставить с данными провайдера (это через официальный запрос от органов). У вас - долгий разговор с мошенниками, в ходе которого вы им что-то сообщали. Тут, видите, не слишком выигрышное положение.
банк должен доказать что вы авторизовали операцию, либо это у них дыра. до преведения операции банк еще и должен уведомить что конкретно вы авторизуете, а не просто "код 1234". у банка есть для этого ресурсы - все логи, своя служба безопасности, большие договора и постоянное взаимодействие с операторами связт, взаимодействие с цб для определения что куда переведено. у пользователя всех этих ресурсов нет - отправлять его самого искать куда перевелись деньги абсолютно некорректно. Если бы однозначная публичная позиция ЦБ - возвращать все платежи (все операции по переводу - отменимы, а по снятию наличных - легко установить лиц кто снимал и взыскать с них), то случаев мошенничества было бы минимальное количество - гайки на авторизации операций, на проверке клиентов бы подкрутили и все.
Если операция была проведена через личный кабинет, любой банк легко покажет подробные логи, когда того потребует официальное разбирательство.
Но здесь может быть и другой сценарий. Давайте просто представим, что автор статьи передал мошенникам любые данные (секретные), которые потребовались им, чтобы восстановить доступ в личный кабинет и зайти в него. Естественно, все это тоже протоколируется. Какие претензии к банку остались бы в таком случае?
Ну и традиционный вопрос: вы мне что-то продали, я вам перевел деньги, потом пошел в банк и отменил операцию. Как вам быть в таком случае?
Банк придумал авторизацию каким-то образом, поверьте значит банк придумал как он будет доказывать что авторизация была проведена. Значит он проверяет что перевод летит проверенному и безрисковому другому клиенту и значит в смс тоже текст который полностью раскрывает суть операции. Либо банк сделал авторизацию на коленке и в тарифы заложил риск фрода. По традиционномц вопросу - в России традиционно путают ПЛАТЕЖ и ПЕРЕВОД, причем делается это отчасти намерянно, например рекламируемый СБП (система быстрых платежей) не является платежами это _переводы_, причем безотзывные и без рассмотрения каких либо в споров (органов рассматривающих чаржбеки в принципе не предусмотрено). А вот виза/мастеркард это система ПЛАТЕЖЕЙ и рассмотрение споров там предусмотрено и входит в прайс. Так вот не оплачивайте товар денежными _переводами_, тогда у вас всегда будет единая операция связывающая услугу/товар и сумму которую вы за нее платите. Причем сумму -конечную (например виза запрещает дробить отчасти чтобы не было фрода от продавцов в стиле вы купили но не все). Сделать денежные переводы мозгов много не надо. А вот догнать старые _платежные_ системы - никакой финтех быстро не сможет, платежеи собаку съели на рисках от операций, там опыта 50 лет.
Ну суд же есть...