{"id":14284,"url":"\/distributions\/14284\/click?bit=1&hash=82a231c769d1e10ea56c30ae286f090fbb4a445600cfa9e05037db7a74b1dda9","title":"\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u0438\u043d\u0430\u043d\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u0442\u0430\u043d\u0446\u044b \u0441 \u0441\u043e\u0431\u0430\u043a\u0430\u043c\u0438","buttonText":"","imageUuid":""}

С дебетовой карты «Тинькофф» украли мои средства

Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.

В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.

Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.

Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.

В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:

1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?

2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!

3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.

4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!

На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.

0
1160 комментариев
Написать комментарий...
Aki Yama

Тинькофф, а почему qr код можно без смс активировать?
Как это сделать?

Почему я должен об этом думать? На моей карте тоже приличные суммы лежат, и я не хочу терять деньги из-за вас!

Ответить
Развернуть ветку
Тинькофф

Чтобы сделать такой код, нужно попасть в личный кабинет, для этого уже нужен код из СМС. Если у мошенника будет к нему доступ, то и СМС для QR кода сможет сделать.

Ответить
Развернуть ветку
капитал прожиточного минимума

Достаточно в СМС начать писать для чего он нужен, как в других банках. Что-то типа
«Вход в личный кабинет: код 1234», «Снятие наличных по QR (15000 RUB): 2323».
Когда клиент увидит в смс «снятие наличных» — возможно включится хоть немного подозревалка.

Ну и из истории непонятно, каким образом мошенники вообще попали в ЛК, если автор не передавал им коды. В любом случае, если вы видите вход с устройства, с которого никогда раньше не входили, неужели сложно начать параноидально слать ВСЕ виды оповещений: СМС, пуши, емейлы, да хоть Олегом позвонить, что «в ваш личный кабинет зашли с нового устройства, срочно свяжитесь с банком, если это не вы». Включайте для новых девайсов политику нулевого доверия — пусть первые 24 часа на каждый десятирублевый чих через приложение сканирует лицо. Вы всё-таки с финансами (порой немалыми) работаете, а не с фотографиями котиков.

В безопасности нет ничего зазорного — люди хранят на счетах свои накопления, а ваша задача обеспечить им максимальную сохранность. Думаю, что для критически важных событий большинство людей простили бы даже излишнюю навязчивость, а для некоторых (вроде меня) это только укрепило бы доверие к банку.

Ответить
Развернуть ветку
Trail soul

Вы просто перечитайте текст автора. Он 40 минут висит на линии с мошенником (передавая ему некую информацию, состав которой скрыл от читателей), ему приходит сообщение о снятии 145 тысяч. Что он делает дальше? Он еще 40 минут висит на линии с мошенником. Происходят еще снятия. О чем его надо было уведомить, каким образом, чтобы заставить хотя бы положить трубку?

Ответить
Развернуть ветку
капитал прожиточного минимума

Перечитал, вы правы, одними уведомлениями людей не спасти 🤦‍♂️

Ответить
Развернуть ветку
Рустам

О чем вы говорите? Человек понял, что "что-то не так" только после третьего (!) снятия средств с карты! 😂

Ответить
Развернуть ветку
Mike Ross

Это добавочно, почти все биржи так делают только Ойти говно Тинькоф это не может а уж как выше 2 фа и эцп и вовсе не в курсе видать

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
FooWarrior

Сделайте так, чтобы снятие наличных по QR можно было отключить навсегда.

Ответить
Развернуть ветку
Рустам

А с другой стороны - зачем? Чтобы выпустить код, надо сначала попасть в личный кабинет. А попадают мошенники в личный кабинет только по недосмотру и глупости самих клиентов.

Ответить
Развернуть ветку
Leha Shum

Не правда куаркод генерируется без смс

Ответить
Развернуть ветку
Рустам

Вы не должны об этом думать. Вы должны думать о том, чтобы не вошли в ваш личный кабинет в банке. Автор поста сам виноват.

Ответить
Развернуть ветку
Aleksey Lukyanov

Если вы прочитаете все комментарии, то увидите истории о том, что оказывается можно "восстановить" доступ в ЛК и сменить секретное слово имея только паспортные данные владельца карты, которые продаются на каждом углу. Если банк действительно позволяет это делать, то это тоже моя проблема?

Ответить
Развернуть ветку
Рустам

Интересно, почему у меня, который всю жизнь пользуется кучей разных банков, никогда не случается подобных историй? Может, потому что я думаю о безопасности больше тех, кто попадается на уловки? Если 40 минут (!!!) разговаривать с мошенниками по телефону, то это вообще ни в какие ворота! И заподозрить неладное только после третьего (!!!) снятия средств со счета! Как можно вестись на такое?! Если мошенники ему звонили и разговаривали с автором, то не просто так. Значит, им нужна была информация! Если бы им ничего не было нужно, они бы даже не позвонили, в просто сняли все деньги без звонка. Вы подумайте хоть немножко.

Ответить
Развернуть ветку
Black Jack

Возможно, отвлекали разговорами, чтобы не смотрел на экран.

Ответить
Развернуть ветку
Рустам

Если его смогли отвлечь, это уже его вина. Да и как можно "отвлечь", когда он сам пишет, что видел каждое списание, но верил, когда ему говорили, что так и должно быть. 😂 И этот ваш пример с омичкой снова доказывает, что виноват сам человек. Кажется, уже каждый должен знать, что когда звонят якобы их банка о совершении подозрительной операции, то это уже обман.

Ответить
Развернуть ветку
1157 комментариев
Раскрывать всегда