Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Интересно когда банки додумаются использовать ЭЦП для подтверждения изменения настроек в лк банка, хочешь изменить номер будь добр авторизоваться по ЭЦП, хочешь активировать снятие по QR - авторизируйся и включи опцию, хочешь снять лимит на снятие - авторизируйся
Эцп которое у почти всех лежит на компе со стандартным паролем. Не смешите.
Да нафиг не нужна ЭЦП.
Нормальный пароль плюс подтверждение по СМС плюс гигиена устройств - более, чем достаточно.
А вот найти ключи ЭЦП + войти в комп + еще к нему доступ получить (сейчас большинство за NATом сидит) не совсем тривиальная задача.
И что, кстати, за "стандартный пароль"?
Комментарий недоступен
Как странно.
Я вот захожу в тинек с компа - пароль и смс-подтверждение.
Захожу через аппликуху - пин-код.
Если тиснут телефон - при переустановке опять же будет запрошен либо пароль, либо номер карты.
Если злоумышленник смог украсть И телефон (незаблокированный) И карту - ну, тогда сам себе злобный баклан. Вины банка в неразумности клиента таки нет.
Нормальная система. А как бы вы ее улучшили?
телефон не обязательно воровать, достаточно заменить сим карту по липовой доверенности или форме 2п
А, кстати, да. Тут ведь imei не проверишь.
Хотя я никогда не занимался восставновлением пароля в Тиньке. Было бы разумно, если бы в форме запроса на смену пароля требовалось указать кодовое слово.
Не знаю, как оно на самом деле :(
В Тиньке очень сложно сменить телефон. Знакомый при мне менял телефон - так там просто мегадопрос устроили. Притом когда он в следующий раз попытался поменять телефон, потому что первый раз ему отказали, ему задавали совершенно другие вопросы.
Комментарий недоступен
Не достаточно, при смене сим Тиньков потребует звонка в поддержку, тоже самое. Смену устройства они тоже видят и просят пароль.
Комментарий недоступен