С дебетовой карты «Тинькофф» украли мои средства
Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Комментарий недоступен
чтобы я не успел сам позвонить в Банк и заблокировать карту после первого снятия
Комментарий недоступен
не верифицируется
Комментарий недоступен
Проверяли у пары друзей, коды не приходили, QR-код выпускался при этом.
Сделайте видео запись того что не потребовало смс теперь это проблема тинькова
Тут есть небольшая подсказка (это не только про Тинькова, но и про другие банки) - левому человеку попасть в банковское мобильное приложение, чтобы хоть что-нибудь сделать, не так-то просто. Если уж попал, то отправка еще одного кода не усиливает безопасность.
Усиливает, причем радикально.
Ну смотрите, если я мошенник и только что принял код, чтобы войти в приложение, как мне помешает еще один код? Я точно так же его введу. У меня, может, ваше приложение уже привязано к моему номеру телефона, а не к вашему - вы же сообщили информацию, чтобы это сделать. Вы даже больше не нужны.
Ну если оно уже привязано к номеру телефона мошенника и при этом клиент не получал сообщение о том что его номер изменён, это уже большой вопрос к Банку по части безопасности, нет? А если не привязан, то каждое сомнительное сообщение увеличивает вероятность, что клиент сам перезвонит в банк и карта будет заблокирована.
Мы не знаем, что конкретно было в вашем случае. Вы ведь и сами не все рассказываете. Интересно было бы увидеть здесь ответ от банка с хронологией событий.
банк не раскроет, даже очень хороший, суперклиенториентированный и публичный не раскроет - к сожалению это угрожает безопасности банка и его клиентов. банк должен просто вернуть средства и начать разбираться кому он там деньги отдал/перевел. Либо иметь неопровержимую цепь событий что это сделал сам клиент.
Вы считаете, что банк не раскроет, что конкретно произошло в данном случае?
вы тему тут прочтите целиком, и выяснится что смс не шлется при QR хотя судя по тексту в приложении должно. что будет дальше - тиньков наконецто начнет проверять а не устроил все сам клиент, и если выясниться что нет однозначности что это клиент, фича будет заблокирована, наконец-то вернут ему деньги, хотя должны были сразу по 161-фз, через службу безопасности начнут искать с камер банковатов кто конкретно снял. данная вся тема, по договоренности с клиентом просто исчезнет с сайта и все.
Мне тоже повторить ответ?:))
QR-код можно создать, имея доступ в личный кабинет, то есть только пройдя аутентификацию. Вы не поняли разве? Нужно дойти ровно до туда же, до куда требуется, чтобы перекинуть деньги кому-то на счет. Если в сценарий автора добавить дополнительный СМС-код, это ничего не изменило бы - мошенник получил бы его и ввел, так как действовал уже со своего устройства.
Я у вас про другое спросил - вы считаете, что банк не раскроет, что конкретно произошло в данном случае?
Я вам там ответил по чему вы не правы. Банк требует для авторизации ровно то, что было спроектировано для нее. Аналогия - требуется паспорт-подпись, а тут оператор банка в лицо вас узнает и выдает деньги - это разная авторизация. Банк при этом должен вернуть деньги на счет и потом ковырять этот случай (в случае аналогии с паспортом - поднимать записи с камер и доказывать в суде что это действительно был клиент, а не похожий чел). А вот выносить косяки на публику - такой обязанности у банка нет, и банк либо соберет доказательную базу что клиент сам себе злобный буратино и все подстроил, либо заключит с ним соглашение чтоб он потер все это с сайта и побыстрее. Столко раз уже было.