Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
40 минут мариновали, и ничего не спросили.
Кого вы тут пытаетесь обмануть?
Вы им или коды диктовали, или скачивали тимку, или что то подобное.
Не бывает такого, что вы им ничего не предоставили, а у вас спёрли деньги.
Тогда бы всю страну так за месяц обворовали.
Что то вы недоговариваете
Мне вот например очень хочется верить, что он им что-то сказал, потому что если нет, то это очень страшно, в опасности каждый))
Мне наоборот, даже обидно ,поверьте. У меня в одном из банков, которым тут часто достается от ребятишек, постоянно вращаются несколько миллионов - и вот так уже не первый год. Почему мне никто не звонит, не сообщает точный баланс и не просит перевести деньги "на страховой счет"? Почему я не просыпаюсь от уведомлений, что средства переведены в другие города и обналичены? Почему, ну я же должен быть им интереснее, чем кто-то с десятками тысяч? Алё? Где все эти "крысы в банках", которые "сливают инфу"? Почему вы не обращаете на меня внимания? :))
я так тоже думал, пока не позвонили и не сообщили мое ФИО с точным балансом :) положил трубку и больше не брал. Ничего нигде не сняли, естественно
В техподдержку банка только сбросил номер телефона, с которого звонили. Естественно, там мне сказали, что банк не звонил, и это были явно мошенники
Даже если несанкционированного доступа не было, баланс и номер карты часто узнают с помощью чеков из банкомата, выброшенных в мусор, и взгляда "из-за спины". Дальше эти данные бьются с базами людей и номеров телефонов, где мы все уже слиты по сто раз. Тут ранее рассматривали такие сценарии.
+ да, и базы с номерами карт вроде бы имеют хождение, если люди платят ими в интернете - тут специалисты по даркнету лучше подсказали бы.
если вы внимательно следите за темой по зеленый банк до недавнего времени просто на АОНе определял ваш номер и называл баланс карт. Подразумевая что только клиент может с него позвонить (а это не так). И если вы внимательно прочтете всю эту тему целиком, то выяснится что и обсуждаемый в теме банк не всегда отправляет смс при генерации каких-то собственно придуманых QR кодов по которым он кому-то потом средства может в банкомате выдать.
QR-код можно создать, имея доступ в личный кабинет, то есть только пройдя аутентификацию. Вы не поняли разве? Нужно дойти ровно до туда же, до куда требуется, чтобы перекинуть деньги кому-то на счет. Если в сценарий автора добавить дополнительный СМС-код, это ничего не изменило бы - мошенник получил бы его и ввел, так как действовал уже со своего устройства.
если для авторизации перевода нужно было сделаны шаги 1-2-3, а выясняется что хватает всего и 1-2, то это косяк системы авторизации. то есть клиент и не авторизовал по смс выдачу QR, а банк все равно исполнил. и при этом банк не пошел вернул ему сразу, и полез разбираться а в полицию его отправил - это основное нарушение.
Уже не актуально:) https://vc.ru/claim/315451-s-debetovoy-karty-tinkoff-ukrali-moi-sredstva?comment=3476503
то что тиньков не любит возвращать утраченные средства клиенту это априори известно и как раз в этом состоит весь тред. сейчас пока выходные и в выходные никто ничего ему не вернет точно. Но в заскриненом приложении при этом ясно написано что что придет смс-код? а он же не приходит. Значит однозначно уже пошло не так как было запроектировано - где там конкретно косяк знает только банк.
Здесь кто-то ошибочно написал, что якобы в справке банка указано, что придет СМС-код подтверждения. На самом деле там написано, что придет уже сгенерированный QR-код в уведомлении. Но никто же не проверяет, что там написано на самом деле:)
Ну и, конечно, никакой банк не возвращает "утраченные средства", если клиент был должным образом идентифицирован и средства списаны по его распоряжению. Насчет возвратов - это здесь просто стойкая фантазия у людей, которые любят комментировать, но не любят читать. Есть, конечно, случаи, когда у банка нет подтверждения, что (например) уведомление было отправлено, это технический момент - тогда через суд можно решить вопрос. Но уж точно не в таком вопиющем случае, как тут:)