Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Благодаря таким постам, с полгода назад отказался брать карту Тинькоф. С каждым новым случаем прямо убеждаюсь, что решение было для нервов и денег правильное.
Самое слабое место любой информационной системы - прокладка между стулом и компом.
Не надо просто быть дебилом и тогда проблем не будет
НЕ надо разговаривать 40 минут хрен пойми с кем
Комментарий недоступен
есть другая проблема .Чем выше безопасность тем ниже комфорт использования .Вы готовы устаналивать пароли длинною минимум в 30 символов и подтверждать каждый платеж по СМС и коду с генератора кодов например? ))))
Комментарий недоступен
ну давай напиши систему на миллионы клеинтов и начни продавать её банкам )))
Комментарий недоступен
примеры что это было уже раньше?
Комментарий недоступен
это усложняет взаимодейтсвие поэтому многие их не берут даже когда этот функционал доступен
Тот же авангард переше на QR коды. Райффайзен банк отменил выпуск генераторы кодов
Комментарий недоступен
у меня есть эта сумма и почему то проблем нет
Аванагрд зарабатывает не на физиках а на других операциях ))) на которые в других банках Эльвира почему то глаза не закрывает )))
Комментарий недоступен
к этому
Если у вас будет сумма, которую вы долго копите, мнение поменяется
Комментарий недоступен
Ни один банк не будет покупать систему, которая отвечает за безопасность у левого человека или у левой организации
Это с чего бы? Вполне могут купить, но, конечно, в виде исходников. Чаще - просто поглотить организацию.
Поглотить организацию и переписать исходники - могут, но купить готовый продукт - нет. Это я пишу именно про системы, которые относятся к безопасности.
Вы не поняли. Купить продукт в виде исходников, устроить аудит, затем самостоятельно собрать и пользоваться - не возбраняется.
Не нужно ничего "переписывать".