Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
@Тинькофф - как мне запретить такое у себя? Чтобы никто, никогда, никак не мог снять деньги с моей карты без карты, без пина?
Как только разберем ситуацию - ответим.
Алло @Тинькофф вы как то писали, что восстановление доступа в лк при забытом пароле возможно только, если знать номер физической карты. Получается, мошенники ещё и номер карты знали? Или у вас там все по звонку с левого номера + назвать дату рождения восстанавливается черт побери? Как доступ к лк мошенники у вас получают я уже много месяцев пытаюсь понять? Где временные ограничения на аккаунте после восстановления доступа / смены номера и как у других банков? Где ваша хваленая идентификация по голосу, лицу? Где проверки на локацию операций, действий? Где опциональная возможность идентификации только через курьера (для премиумов хотя бы)? Где возможность добавить доп. фактор безопасности в виде кода на привязанную почту? Сколько месяцев вас уже просят все это добавить? Год, два? Чем вы вообще занимаетесь там? Нихера абсолютно не делаете.
Мы делаем все возможное, чтобы деньги наших клиентов были в безопасности. Не стоит забывать, что сохранность денег тоже зависит и от самих клиентов.
вот это вы заявление сделали! Я правильно понимаю, что кто-то может подсмотреть данные моей карты (да хоть продавец в магазине, вроде я по-прежнему обязан дать ему карту в руки, если он попросит, на ней, кстати, какие-то идиоты ещё и cvv код печатают, вы в курсе?), узнать мой телефон (а у нас сейчас все вместо карт лояльности телефон диктуют на весь магазин) и потом, как-то раздобыв дату рождения, зарегать новый личный кабинет?
Так сделать не получится. Продавцу, даже для проверки, нужна только лицевая сторона с вашим именем, на большинстве наших карт на этой стороне даже номера карты нет, как раз по этой причине. Помимо самого номера карты и телефона, нужен также код из СМС, которое поступит на ваш номер, чего продавец также не сможет получить.
ваш надзорный орган считает иначе, процитирую:
При использовании банковской карты для оплаты товаров и услуг кассир может потребовать от владельца банковской карты предоставить паспорт, подписать чек или ввести ПИН.
Мы говорим про карту конкретно. Для проверки нужен паспорт и имя на карте. Или паспорт и подпись на чеке. Имя и номер карты находятся на разных сторонах, поэтому даже номер этот продавец не узнает.
А, зачем тогда нужна подпись на обратной стороне карты? В некоторых магазинах без неё у меня карту не принимали (редкость конесно, но вроде требование законное). Или на ваших картах такое не предусмотрено?
Вы можете также показать паспорт, на нем есть подпись, которая должна совпадать с подписью на чеке.
Я, не обязан носить с собой паспорт
Я уж молчу про то, что подпись не обязана соответствовать подписи в паспорте. Паспорт не является образцом подписи для сверки. Такого образца вообще не существует. Любая поставленная подпись не обязана соответствовать никакой поставленной подписи в прошлом. Большинство в РФ даже не понимает, что подпись это не ключ/шифр/знак/пароль, это тупо пометка о согласии с тем, что написано на бумаге. Это же так очевидно, потому что большинство людей после небольшой тренировки сможет повторить почти любую подпись.
Если документ реально важный, то должно требоваться писать фио полностью, чтобы по почерку можно было установить личность. Но не по подписи лол.
Кстати интересно, что когда менял паспорт, уже на получении два раза полностью переписывал бланк, потому что подпись в бланке на получение не была похожа на подпись в заявлении на смену паспорта. Для меня все мои подписи одинаковые и различия там были минимальны, но эта смогла доебаться.