Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Тинькофф, а почему qr код можно без смс активировать?
Как это сделать?
Почему я должен об этом думать? На моей карте тоже приличные суммы лежат, и я не хочу терять деньги из-за вас!
Чтобы сделать такой код, нужно попасть в личный кабинет, для этого уже нужен код из СМС. Если у мошенника будет к нему доступ, то и СМС для QR кода сможет сделать.
Достаточно в СМС начать писать для чего он нужен, как в других банках. Что-то типа
«Вход в личный кабинет: код 1234», «Снятие наличных по QR (15000 RUB): 2323».
Когда клиент увидит в смс «снятие наличных» — возможно включится хоть немного подозревалка.
Ну и из истории непонятно, каким образом мошенники вообще попали в ЛК, если автор не передавал им коды. В любом случае, если вы видите вход с устройства, с которого никогда раньше не входили, неужели сложно начать параноидально слать ВСЕ виды оповещений: СМС, пуши, емейлы, да хоть Олегом позвонить, что «в ваш личный кабинет зашли с нового устройства, срочно свяжитесь с банком, если это не вы». Включайте для новых девайсов политику нулевого доверия — пусть первые 24 часа на каждый десятирублевый чих через приложение сканирует лицо. Вы всё-таки с финансами (порой немалыми) работаете, а не с фотографиями котиков.
В безопасности нет ничего зазорного — люди хранят на счетах свои накопления, а ваша задача обеспечить им максимальную сохранность. Думаю, что для критически важных событий большинство людей простили бы даже излишнюю навязчивость, а для некоторых (вроде меня) это только укрепило бы доверие к банку.
Вы просто перечитайте текст автора. Он 40 минут висит на линии с мошенником (передавая ему некую информацию, состав которой скрыл от читателей), ему приходит сообщение о снятии 145 тысяч. Что он делает дальше? Он еще 40 минут висит на линии с мошенником. Происходят еще снятия. О чем его надо было уведомить, каким образом, чтобы заставить хотя бы положить трубку?
Перечитал, вы правы, одними уведомлениями людей не спасти 🤦♂️
О чем вы говорите? Человек понял, что "что-то не так" только после третьего (!) снятия средств с карты! 😂
Это добавочно, почти все биржи так делают только Ойти говно Тинькоф это не может а уж как выше 2 фа и эцп и вовсе не в курсе видать
Комментарий недоступен
Сделайте так, чтобы снятие наличных по QR можно было отключить навсегда.
А с другой стороны - зачем? Чтобы выпустить код, надо сначала попасть в личный кабинет. А попадают мошенники в личный кабинет только по недосмотру и глупости самих клиентов.
Не правда куаркод генерируется без смс