Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Что-то история очень подозрительна. Автор уверяет нас, что никаких данных мошенникам не сообщал. Прошу прощения, но не верю. Если бы им не были нужны данные от вас, они бы вам даже не позвонили. Значит вывод один - нужные им данные вы им все же сообщили, потому что иначе они бы даже qr-код не смогли выпустить. Каким-то образом они попали в ЛК. Следовательно, получили доступ к логину и паролю, к СМС. Каким образом они это сделали - это вопрос непосредственно к автору: откуда утёк пароль и как узнали код из сообщения? Вопросы безопасности хранения паролей и кодов - ответственность клиента банка. Да и разговаривать с мошенниками минут 40 - это что-то. Да ещё и заподозрить, что что-то не так, только после третьего снятия средств с карты? Вы это серьезно?! Автор явно не договаривает или намеренно обманывает, чтобы вернуть себе за счет банка деньги, которые сам же и профукал.
В комментариях неоднократно встречается наиболее вероятная версия, которую стоит проговорить еще раз. Мошенник, связавшись с клиентом, собирает у него набор данных, которые являются ответами на часто встречающиеся контрольные вопросы для идентификации человека по телефону. В том числе кодовое слово, которое человек указывал при заключении договора с банком. Затем они совершают звонок в банк и "восстанавливают" доступ в личный кабинет, имея возможность правильно ответить на все контрольные вопросы. Эти процессы могут идти параллельно. Автор статьи указывает, что передавал мошенникам "какую-то" информацию, но какую именно - предпочитает не рассказывать.
У меня была другая история в Альфа-банке. Никаких звонков, ничего, только код о входе в приложение, которое даже я не увидел, пока не обокрали. А результат тот же - с интервалами в 1 минуту списали 10 платежей и банк все пропустил. Хотя видел, что деньги переводят из другого региона и другим устройством. И ни одного уведомления, ничего. Может вы уже начнете по существу обсуждать, как защитить клиентов. Завтра это случится с вами и вот тогда вы увидите, что клиенты в России вообще не защищены. В законах целенаправленные дыры, чтобы банки уходили от ответственности.
Вы считаете, что в законах есть специально устроенные дыры, чтобы банки уходили от ответственности? То есть банкам выгодно, чтобы со счетов клиентов воровали деньги? Можете ли более подробно описать, какие дыры вы видите?
Я написал ниже
В законе даже нет четкого способа уведомления. Хочешь пушами, которые всплывают и исчезают и для которых не нужна привязка к номеру, а только к устройству. То есть подключил тел через вай-фай вошёл в мобайл приложение жертвы, переподключил пуши - и грабь. И так и делают и ты потом в суде не докажешь, что это не ты переводил и что ты эти пуши не получал. В крайнем случае банк покажет поддельные документы, что все сделано тобой. Банки каждый день отбивают иски клиентов. В среднем требуется 3 заседания. Первое рассмотрительное, на втором будет решение и потом банк подаст апелляцию и будет третье. То есть это на год минимум. А если бы были четкие защитные нормы в законах, то банки бы сами и защиту сделали и все бы сразу стало по-другому. Если бы ответственность действительно лежала на банках.
А как войти в мобайл-приложение жертвы?
Я до сих пор не знаю как вошли в мое, если только сам банк не замешан. Не знают этого и другие люди, у которых все было сделано точно также. Но даже зайти в приложение это еще не украсть. А вот как было сделано 10 переводов на сумму 19999. Спам сумма с интервалом 1 минута. Без подтверждения мною. Если бы было четко в законе указан способ уведомления и я мог доказать, что я не подтверждал. Но я не могу этого сделать против слов банка. И все - все мы по закону заранее виновны
Вашу конкретную ситуацию можно обсуждать отдельно, если вы где-то писали о ней. Наверняка у вас было разбирательство с банком. Но вы должны понимать, что обвинение в сторону банка - это достаточно типичная реакция. Это будет делать даже человек, который сам передал все необходимые данные через фишинговый сайт или установил мошенническое приложение на телефон, которое записывает экран. Тут стоит на секунду поставить себя и на другое место: подумать, какова может быть выгода сотрудника банка, который помог украсть 200 тысяч и теперь сидит и ждет, когда за ним придут.
А вот в случае, описанном автором статьи, все достаточно прозрачно: 40 минут он общается с мошенником (автор почему-то скрывает от читателей, какую конкретно информацию он передал), затем видит сообщение о списании средств и... что он делает? Еще 40 минут общается с мошенником. Очевидно, он сделал все, что требовалось, чтобы помочь мошеннику удаленно идентифицироваться под видом клиента.
Если бы закон был на стороне клиента, то банки бы приняли все доступные способы обеспечения безопасности средств. И количество краж свелось бы к минимуму.
А как все-таки, по вашему мнению, должен быть изменен закон? И какой?
Хотя бы подтверждение платежей только по смс с возможностью взять распечатку...хотя бы это
Я понял, просто на сегодняшний день уже понятно, что СМС - это не слишком надежная вещь. Недавно была история, когда человек потратил 2 года на то, чтобы доказать, что СМС отправлялись мошенниками с копии его сим-карты. И доказал. И отсудил деньги. Ну, конечно, это как бы другая тема, но тем не менее заслуживает внимания - https://journal.tinkoff.ru/kibermoshennichestvo-zhaloby/ (в трех частях).
Насколько я понял, вы видите основную проблему в том, что банк позволяет войти в личный кабинет с другого устройства, чтобы перевести деньги?
Вот это реальность, а не домыслы на форуме кто и кому чего сказал за 40 минут
Да, банкам может быть выгодно, чтобы со счетов клиентов воровали деньги, если:
а) банки в целом как структура или отдельные их работники сами в этом замешаны и получают часть или полностью все незаконно списанные средства;
б) мошенники берут от имени людей кредиты и кредитные карты, снимают деньги, а люди платят банку саму сумму, проценты и неустойку. При том, что сам по себе человек в жизни бы не стал брать кредит или оформлять кредитную карту по своей воле.
И пункт б) может прекрасно сочетаться с пунктом а).
Я еще знаю человек 10, которых также обокрали. А недавно мне написала женщина у неё 500 тыс сняли и у всех такая же история как у меня. Поймите, никто от этого не застрахован, надо бить набат и менять законы...
Это все понятно. Потому я и говорю, что данные он все слил сам, по своей вине. И винит банк. Молодец, что сказать...
Да это не страшно, что он-то винит. Плохо, что эти истории ничему не учат людей - это раз, а отдельные личности еще и строят на этом теории, что банк должен вернуть деньги - это два. А публике что? Прочитали, ага, ясно, бедного клиента банк нагнул, побежали дальше.
Комментарий недоступен
Это неверно, в договоре обычно предусматривается кодовое слово, которое заносится в банковскую карточку, и контрольные вопросы для удаленной идентификации клиента. Естественно, ответы на эти вопросы выбирает сам клиент.
Комментарий недоступен
Вы можете направить обращение в ЦБ РФ в электронном виде, через интернет. Либо обратиться к своему депутату госдумы.
С другой стороны, в ряде жизненных ситуаций удаленная идентификация клиента действительно необходима, а без кодового слова провести ее затруднительно. Я бы на вашем месте скорее попросил бы законодательно запретить разговаривать с мошенниками и передавать им личную информацию, видеть сообщение о снятии наличных и еще продолжать разговаривать - вот это было бы эффективнее.
Комментарий недоступен
Возможно, вы путаете меня с банком - я не банк, здесь я просто пытаюсь включить людям логику, замыкая какие-то проводочки в голове. На сайте ЦБ РФ есть вполне внятные рекомендации клиентам насчет того, как обращаться с кодовым словом и прочими важными вещами. Вы просто сегодня об этом узнали, поэтому такая реакция. Поживите с этим какое-то время. Возможно, произойдет переоценка.
Комментарий недоступен
Я согласен с вами. Даже руку при желании можно отрезать и приложить отпечаток пальца) Единственный надежный метод авторизации - это личная явка живого клиента в добром уме и светлой памяти с паспортом и проверкой паспорта на подлинность. Желательно также дополнительная сверка биометрии. Но с биометрией, конечно, сразу возникают другие нюансы.
Комментарий недоступен
Помимо паспортных данных нужны и другие сведения.
Комментарий недоступен
Вполне возможно, тем более всё вопросы мошенникам известны и их не сложно узнать, я вам даже сейчас их перечислю:
1. Паспорт
2. Емейл
3. Устройство с которого входили
4. Год когда ты стал клиентом именно этого сервиса (я сам не мог ответить сперва, так неверно отвечал год, когда стал клиентом банка, а надо было, когда договор на мобайл)
5. Дальше вопрос по приложению, смотря откуда обращаетесь (мобайл, инвестиции, банк), там спросят текущий тариф, либо сколько он стоит, либо ещё какую либо узнаваемую информацию
Возмутило меня больше всего то, что они ОДИНАКОВЫЕ и менялся только пятый, а звонил я раз 5 так как никак не мог ответить на 4 вопрос.
Все эти вопросы легко узнать мошенникам под любым предлогом, а ведь нигде не указано что данную информацию нельзя предоставлять третьим лицам (паспортные данные мошенники, очевидно, и так знают). Более того, всю эту информацию может слить сотрудник вашего саппорта, как я писал ниже.
@Тинькофф прокомментируйте пожалуйста