Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.
Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.
Уважаемый Тиньков,
Кем именно и на каком основании в данном случае операции считаются совершенным "с согласия клиента"?
Чем именно и как именно по вашему мнению в данном случае доказывается "согласие" клиента?
Чем именно и как именно доказывается, что QR коды были выпущены именно на устройстве клиента?
Как именно QR коды пропали от автора в Санкт-Петербурге к мошенникам в Пятигорске? Почему данная операция не показалась банку подозрительной? Неоднократное снятие больших сумм в другом городе новым для клиента способом в короткий промежуток времени.
Меня смутил этот кусок из ответа банка: "у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает."
Мало того, что уведомления должны быть по любой операции с деньгами, так еще и в условиях выпуска QR они сами написали, что шлют код подтверждения.
Банк признал, что никаких кодов при выпуске QR он не шлёт.
А ещё тинь не оповещает об операциях по оплате своего примиума и прочих подписок. Ну, чтобы если вы подключили чисто на месяц бесплатно, то потом было больше шансов забыть и не отключать подписку.
Прочитайте о том, что такое «рекуррентное списание».
Прямо в точку, браво! Банк очень ловко описал этот скользкий момент, но от вас это не укрылось)
Вы ошиблись. Здесь кто-то ошибочно написал, что якобы в справке банка указано, что придет СМС-код подтверждения. Вы не стали проверять эту информацию. На самом деле там написано, что сразу придет уже сгенерированный QR-код в уведомлении.
Ув. Искатель, что вы пишите, мне впринципе понятно, я согласен что банки ведут себя не добросовестно. Но как удостовериться, что, например автор это все не разыграл, пррвернув такую операцию, в расчёте получить компенсацию. Опустим что это уголовное преступление.
Позвонить автору и спросить, с его ли согласия осуществляются множественные снятия крупных сумм в новом для автора городе новым для автора способом.
У банка есть такая обязанность согласно п. 9.1 ст. 9 Закона о НПС. Вопрос в том, почему банк не усмотрел в данных операциях признаков перевода без согласия клиента?
9.1. В случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные частями 5.1 - 5.3 статьи 8 настоящего Федерального закона. При получении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств обязан незамедлительно возобновить использование клиентом электронного средства платежа. При неполучении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств возобновляет использование клиентом электронного средства платежа по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 статьи 8 настоящего Федерального закона.
Студент, здесь операция по снятию наличных))). Сырой вы еще.
То есть вы полагаете, что если происходит снятие наличных без согласия клиента, то норма вообще не применяется? Даже по аналогии?
Да хоть при трилогии. Снятие наличных это не перевод денежных средств. Снятие происходит в одном банке, в переводе же взаимодействуют два банка.
А если снятие наличных не в банкомате банка-эмитента ЭСП, а в банкомате стороннего банка?
Да хоть в стороннем банке другой страны.
С чего бы операция должна показаться подозрительной, если QR коды и предназначены для того, чтобы деньги снял другой человек?
Банки анализируют "типичность" совершаемых операций в реальном времени. Для меня снятие наличных с карты в принципе не типичная операция, тем более посредством QR кода
Что значит «не типичная»? Снятие наличных допустимо при обслуживании в любом банке.
Если на каждую «нетипичную» операцию банки будут очень сильно реагировать и блочить все, что возможно и невозможно - вы ровно с такой же горящей жопой будете обрывать горячую линию банка с фразой «КАКОЕ ПРАВО ИМЕЕТЕ БЛОКИРОВАТЬ МОИИИИ КААААРТЫ»
Функция новая, никто из клиентов её раньше не использовал просто потому что её не было. Вы предлагаете, чтобы каждый человек, кто решил ей воспользоваться, сталкивался с невозможностью это сделать? А в чем конкретно по вашему мнению польза такой проверки, если проверяться будут вре подряд?
Функции уже года 3. Забавно, что о ней, оказывается, многие не знают.
Это не такой большой срок для достаточного охвата аудитории, что подтверждается тем, что многие о ней не знают.
И тут мы подобрались к цели поста:
@Тинькофф где моя премия за рекламу данного функционала?
Снял 4 раза по 150 тыс. другой человек новым для автора способом в другом, новом для автора городе, где он никогда не снимал. Вообще ничего подозрительного)
Ещё раз - QR коды предполагают, что деньги снимает другой человек. Скажем, находясь в другой стране я так могу поделиться деньгами с родственниками.
То, что было совершено несколько операций подряд, и это подозрительно - можно согласиться, но с оговорками.
Если вы регулярно делитесь с родственниками в определенной стране или городе, то ничего подозрительного, все норм.
Но здесь автор никогда ни с кем не делился деньгами в другом городе через коды, и вдруг решил поделиться сразу всеми деньгами со счета.
Большинство банков даже обычный перевод через интернет-банк на сумму больше 30-50 тыс. новому получателю приостанавливают и звонят подтверждают.
Еще раз - вы, кажется, предлагаете каждому человеку, кто воспользвался новой для функцией, столкнуться с трудностями.
На мой взгляд, это лучше, чем если новой функцией воспользуются мошенники.
Я лично заранее морально готов и даже радуюсь, когда банки реагируют на какие-то необычные для меня финансовые операции, которые я решаю провести.
Для меня это означает, что служба безопасности банка и настройки безопасности банка реально работают.
Вот только деньги крадут со всех банков, что и говорит не о большой эффективности подобных мер. Проблема заключается в непредсказуемости поведения этой системы для пользователя, поскольку поведение и траты у всех кардинально разные эта система лишь имеет некоторый шанс сработать, и никаких гарантий она давать не может. Ложное чувство безопасности может быть очень обманчивым)
В случае автора подобная система предотвратила бы списание. То есть с ней уровень безопасности в любом случае выше, чем без нее.
Кроме того, список критериев операций без согласия установлен ЦБ РФ и обязателен для банков:
Утверждены приказом Банка России от 27 сентября 2018 года № ОД-2525
Признаки осуществления перевода денежных средств без согласия клиента
1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее – база данных).
2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных.
3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)
Насколько я могу судить, у них такая система есть, но она не предотвартила списание, и это как раз то, о чем я говорил выше. Перечисленные же пункты - не более чем набор слов, без каких-либо четких критериев и технических деталей, особенно последний пункт. Так часто бывает, юристы - они не бизнес аналитики, и частельно живут в отрыве от реальности, выдвигая требования, которые не только написаны максимально запутанным языком (не особо понятно зачем), но еще и не выдерживающие никакой критики. С такими требованиями должнен идти набор математических закономерностей для проверки, а не вот это все.
Тем не менее: "обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)"
Если автор поста ни разу в жизни до этой ситуации не совершал операций по снятию с помощью QR-кода, закон однозначно на его стороне.
@Tinkoff Как ваш лояльный пользователь, с многолетним "стажем" я бы ОЧЕНЬ хотел, чтобы вы подробно разобрались в этой ситуации, чтобы исключить подобное мошенничество в будущем. И написали об итогах в отдельном посте.
В первую очередь, изучить, какие именно приложения стояли на смартфоне (и возможно запретить подобные операции, если на телефонах клиентов стоят подозрительные приложения).
Затем докопаться, как ИМЕННО злоумышленники получили доступ к приложению во время разговора.
Выяснить, какие данные пользователь передал мошенникам.
Пожалуйста, копните глубже, поработайте с этим человеком, выясните, почему так произошло и опубликуйте расследование здесь. Поверьте, это ОЧЕНЬ поднимет вас в глазах многих. Сейчас мы видим череду подобных случаев, на которые банк отписывается стандартно "все было норм, мы не при чем, клиент сам виноват, вот пусть и разбирается". Может, по закону оно и так, но выглядит не очень красиво. Разберитесь пожалуйста!
Главное во время расследования не выйти на себя)
Если Тиньков вдруг выяснит что стояло какое-то троянское приложение, то получается клиент не давал согласия на создание qr и деньги украли не у клиента, а у банка. Позиция банка понятна: Пусть лучше остаётся все как есть и полиция разбирается, все равно не разберётся.
Тут фиг что докажешь, так как само наличие троянского приложение ещё не доказывает, что именно оно ответственно. Вряд ли оно логи оставляет. А пользоваться телефоном можно и во время звонка.
Но пользоваться мобильным банком на Андроиде (причём, подозреваю, рутованном) — ССЗБ.
Схерали? Сохранность доступов к смарту это проблемы клиентов, куча судов была где такие же лопушки с троянами сиднели, все в итоге в должниках.
Так можно ключи отдать мошенникам, а потом на управляющую компанию гнать, что сейф вынесли…
Оно им надо? Проще написать стандартный ответ и забыть.
Автор не говорил, что сам генерировал QR-коды. Кому теперь верить ?
Очень похоже, что у автора на телефоне был троян.
Особенно тот факт, что его держали на связи около 40 минут, за это время как раз генерируют коды и выводят деньги.
Раньше мошенники просили положить телефон вниз экраном на стол, чтобы пользователь не видел того, что происходит. Тут попался более опытный мошенник, который удерживал внимание 40 минут разговорами.
Да, такое возможно, но банк ни слова не написал про троян и как именно он мог незаметно для автора выпустить коды в приложении, про то, как коды оказались у людей в Пятигорске, хотя автор из Санкт-Петербурга, и почему банку не показалось подозрительным неоднократное снятие средств в короткий промежуток времени в другом городе новым для автора способом? Если это был некий удаленный рабочий стол, то как автор мог не увидеть, что именно происходит у него на экране?
Но ведь эти QR коды и предназначены для того чтобы снимать деньги клиента тому у кого этот код оказался, и там где удобно этому человеку?
Задумка такая у них? Тогда конечно они не будут ничего спрашивать, хоть в Болгарии снимай.
С одной стороны да. С другой стороны это одновременно является благодатной почвой для мошенничества, и банк должен внимательно следить за происходящим.
Сами посудите, что произошло.
Банк не подтвердил выпуск QR кодов смс-кодом и до сих пор внятно не объяснил почему.
Банк не уведомил автора о выпуске QR кодов.
Банк не увидел признаков операции без согласия клиента при выводе новым для автора способом крупных сумм в другом городе, новом для автора.
Вы часто даёте другим людям QR коды для вывода всех ваших средств в другом новом городе? Это вам не показалось бы подозрительным?
Банки обычно всегда, особенно при крупных суммах, подтверждают операции новым способом, в новом городе, новому получателю и т.д. После подтверждения банк запоминает и больше не спрашивает. И это правильная практика финансовой безопасности, если подтверждение оперативное и без технических сбоев.
Да я вообще об этих кодах узнал из статьи, и с удовольствием избавился бы от возможности их выпустить.
Но они объяснили почему выпуск кода не подтверждается - потому что это делается из приложения, а значит делается самим автором.
Аргумент странный, например увеличение лимита из приложения надо подтвердить кодом.
О том и речь, что очень странный.
При том, что в инструкции самого же банка указано иное - см. скрин.
То есть получается, изменение лимита надо подтверждать кодом, а по сути снятие всех денег со счета не надо, банк посчитал, что априори все с согласия автора происходит.
И самое главное, мы ведь не можем проверить правду говорит банк или нет. Что мешает банку говорить, что вход был только с устройства автора, хотя был вход и с устройства мошенников по данным автора? А логи и айпишники просто подредактировать в случае необходимости. Я уже видел в судах как компании редактировали данные и потом приносили их в суд в письменной форме как якобы достоверные и что-то подтверждающие.
Я так полагаю потому что разговаривал по телефону
Автору не помешало бы уточнить, какой оператор мобильной связи использовался на тот момент, и был ли он подключен по WiFi, ибо не всегда при голосовой связи возможна передача данных, без которой, соответственно, невозможно удаленное управление устройством или работа Трояна
Я об этом тоже подумал, кстати.
Также важно понять, если это всё-таки троян, то как именно может троян получать доступ напрямую к функциям приложения Тинькова вплоть до выпуска QR кодов? Если бы троян подсмотрел смс коды, то тут все понятно. Но выпустить qr коды в стороннем приложении в момент разговора по телефону - это уже что-то новенькое.
Скорее всего это удаленный доступ к телефону, но такое сейчас поидее только на старых андройдах сработает. Новый, как не пытайся, без рута разрешит только просмотр экрана, с согласия пользователя (anydesk), но не разрешит управление.
А тут, видимо, пока с ним разговаривали, на телефоне удаленно могли делать что угодно.
Мошенник задавал правильные вопросы, а автор ухом нажимал нужные кнопки :-D
Все телефоны отключают сенсорный экран при поднесении к уху, иначе им было бы невозможно пользоваться.
Во время голосовой связи должна была работать передача данных, чтобы провернуть такое, об этом автор не уточнил пока.
Anydesk работает на управление и без рута
При этом троян должен уметь выбрать в приложении нужную карту с деньгами, уметь указать сумму, и далее уметь получить код, и сделать так нужно 3 раза. Блин, ну нееееет))))
Какой троян. Автора 40 минут обрабатывали. Он бы и qr код сформировал и коды из смс продиктовал. Автор можно сказать курсы себе оплатил от последующих наибалов.
Если логи покажут что устройство только одно , то автор сам себе злобный буратино
Автор зачем-то лжет. Например, говорил, что звонили с номера банка... но бедняга не в курсе, что уже год это не возможно. У операторов есть списки номеров, по которым звонки возможны только по определенный направлениям (подмена Caller ID невозможна)
А вот Тинькофф считает что возможно:"Вы не можете быть уверены, что звонит банк, даже если у банка всего один номер телефона. Мошенники могут его подменить."-коммент ниже.
Альфа в комментах к недавнему посту по ним в Приемной тоже считает, что подмена возможна.
Будут пруфы обратного?
@Сбер Возможна ли сейчас подмена подмена вашего номера, например 900 мошенниками?
@Банк ВТБ Возможна ли сейчас подмена вашего номера, например 1000 мошенниками?
Нет, наш номер 900 подменить нельзя
@Ruslan Asakaev Вопросы есть? Вопросов нет
Я цитирую Альфу и Тинькофф, в ответ мне тыкают в Сбер.
Л-логика.
Главные вопросы в том, кому поверит суд, что на самом деле произошло и кто на самом деле должен нести ответственность?
Сессия тинька и бек прокси с устройства (чтобы не морочится с подделкой устройства и ип жертвы был), нихрена не надо учить троян все там делать.
Не могли бы, пожалуйста, чуть подробнее объяснить на доступном языке?)
Ну бьять... Ну как тибе сказать...
Пиазение на тиифоне саздаёт сессию с сивиами тинькова. Сессия-мэссия имеет свой уикайный итинтификатарь. Еси завадеть этим итинтификатарамь, то севеы тинькова будут думать, фо это ты.
Но какбы сессию нада бы пииадичиски свиять. Ну, па таму жы айпи. Ну ии пастаянна посе каздава чиха запасивать афтаизацию. Бедово, павда? Воть и астаёца тока айпи и ид сессии (пофигу, засифованый ии неть).
А еси есё сдеать бэк-покси с тиифона зэтвы, то тафик пойдёт чеез тиифон зэтвы. Бинго!
Ню воть
Неплохо вы развлеклись, зачет))
Получается, уже даже обычные люди, не специалисты по безопасности, здесь в теме уже начали понимать что происходит и задавать Тинькову правильные вопросы.
Какого хрена не подтверждается двухфакторкой или хотя бы просто пин-кодом, который знает только клиент, каждая отдельная операция?
Какого хрена Тиньков приравнивает авторизацию при входе в приложение, то есть авторизацию при создании сессии, к авторизации всех других операций в пределах сессии?
Почему Тиньков считает, что можно настолько безалаберно забить на авторизацию после создания сессии и часть или все операции в пределах сессии проводить без подтверждения, необоснованно считая их совершенными от имени и с согласия клиента?
А если Тиньков еще и айди сессии не шифрует, то это вообще рукалицо...
Получается Тиньков либо тупо делает вид, что не знает про подобные нехитрые схемы и разыгрывает дурачка про то, что у банка "не было оснований полагать, что операции совершаются не вами", либо там работают настолько безграмотные специалисты по безопасности.
Думаю, отсутствие отдельной авторизации по каждой отдельной операции опытный юрист должен смочь представить как несоблюдение банком надлежащих мер безопасности.
И, если в том же суде по полочкам разложить всю подноготную клиент-серверного взаимодействия у Тинькова и показать, какая у Тинькова там дырища, это может очень сильно помочь в выигрыше дела.
Ну а почему суд не должен поверить логам банка? Разве не такие доказательства обычно предоставляются в подобных делах?
Предположим, что они их предоставят (а так будет с вероятностью 99%), а там отображается, что никто не заходил в приложение, кроме самого автора.
То есть у вас не вызвало бы на месте суда сомнение доказательство, предоставленное заинтересованной стороной из своей собственной базы, достоверность которого никто кроме заинтересованной стороны не может подтвердить?
Это прямо как ДНС, представитель которого для доказательства цены фактически прямо в суде на коленках от своего имени клепал справки о цене товара в определенный день) А потом уже начал выгрузки из базы делать с видными невооруженным глазом правками данных и тоже собственноручно их заверять)
И как в итоге, суд поверил представителю ДНС и его справкам?
Не особо, после того как были представлены кассовые чеки, выданные ДНС об оплате товара в те же самые дни) Они пытались и чеки оспорить - типа без подтверждения налоговой это все фигня, а не чеки. Но суд уже не выдержал и послал их куда подальше с их запросами в налоговую) Потому что сколько уже можно)) Не ожидали они просто, что другая сторона будет готова к их уловкам)
И что, суд таки поверил только чекам? Без подтверждения в налоговой? На любую трассу выезжайте, там для дальнобоев не один десяток лет печатают абсолютно любые чеки.
Там не только чеки были, а еще скриншоты личного кабинета и писем с подтверждением заказов на почту, видео оформления заказов, смс-сообщения от ДНС и т.д. В общем, по совокупности все очевидно было для суда.
@Tinkoffbank Tinkoffbank как все таки отключить у себя снятие денег по QR-коду?
Очень неприятно узнавать о новых функциях приложения из сообщений про мошенничество, особенно о тех функциях, которые мне лично нафиг не нужны.
Уже страшно становится - может у вас есть еще какие-то разработки по снятию денег с помощью каких-то кодов, о которых я не знаю?
Лично мне достаточно опций снятия денег в банкомате с помощью пластиковой карты и nfc смартфона. Как отключить все остальные способы?
Сейчас отключить эту функцию нельзя. Видим, что у многих такая потребность есть, поэтому оставили обратную связь по этому поводу. Беспокоиться не о чем, потому что для того, чтобы создать QR-код нужно войти в приложение, а данные для входа должен знать только клиент.
Должен. А водители, например, должны ездить только на зеленый свет, т.е. можно по сторонам вообще не смотреть переходя дорогу на разрешающий сигнал светофора? Беспокоиться ведь не о чем, водители же должны соблюдать правила ПДД ) Логичненько.
Ну и переходить восьми полосную автомагистраль вдоль и на красный тоже плохая идея, примерно на уровне 40 минут общения с левыми людьми
В 99,99% случаев так и происходит.
Тинькофф, когда уже наконец-то появится возможность видеть все устройства, которые имеют доступ к счету в меню приложения по аналогии с Google? У Google благодаря этому можно отключать неиспользуемые устройства.
Также у Google подключение новых идет через подтверждение в отдельном окне с информацией кто подключается (устройство и платформа), откуда подключается и есть 2 варианта с выбором разрешить или запретить новому устройству доступ, что намного информативнее пуш уведомления, которое сейчас стоит у Тинькофф.
Также, все QR коды должны иметь возможность отзываться одним кликом
Спасибо за идеи, учтем. Не исключаем, что реализуем в следующих обновлениях.
Мне вообще интересно, как вообще допустимо вводить КП какие-то дополнительные возможности списания средств без подписи клиента?
Подпись вообще должна быть физической. О том, что "я понимаю что такое QR-код, знаю для чего он применяется и прошу его мне подключить". Иначе это игра банка на стороне мошенников.
Также я хотел бы уточнить, почему банком не были приостановлены операции в рамках п. 9.1 ст. 9 Закона о НПС? Почему банк не усмотрел в данных операциях признаков переводов без согласия клиента?
Да успокойся уже
не было никаких переводов, тут и без ответа банка это понятно.
Понятно, судя по вашему ответу либо у ТСа вирусня на его ведроиде (как я и предполагал ниже, но ведроводы разумеется заминусовали), либо автор в посте все переврал. Покупайте больше ведроидов господа, дайте мошенникам зарабатывать легкие деньги, ибо вам они не нужны.
Это не вирусня, это банальный тимвьюер или аналог.
Обычное дело - адепты эпла остаются все такими же технически безграмотными людьми в общей своей массе, поэтому вам так просто ездить по ушам о мифических преимуществах оайоса.
Оно и пофиг, просто это может сыграть с вами злую шутку)
Охуеть, тимвьювер какой-то в фоне это не вирусня?
Не в фоне, все что делается с использованием тимвьюера видно на экране. И нет - не вирусня. По факту это обычное приложение из маркета, которое пользователь поставил сам.
В данном применении равноценно трояну. Просто заходит не через взлом, а через обман.
Мифические преимущества оайоса, но деньги, как обычно, спиздили с андроида ¯\_(ツ)_/¯
Андроидов количественно больше, соотвественно и случаев кражи больше. Это не проблема андроида, это - математика за 5й класс.
Расскажите хоты бы один случай, когда такое провернули на ios
Я понимаю, что у пользователей эпла часто бывают трудности с использованием интернета, так что держи: https://apps.apple.com/us/app/teamviewer-quicksupport/id661649585#see-all/reviews. Это - ссылка на магазин приложений, тот самый, через который вы устанавливаете приложение на свой телефон. На странице можно найти отзывы, и у этого приложения такой низкий рейтинг не зря - среди отзывов можно отыскать много сообщений о том, что авторы были ограблены мошенниками через это приложение.
Если я вдруг объяснил не достаточно понятно, на всякий случай к этому посту я прикрепил скриншот с одним из таких случаев. Это небольшая картинка под постом, по ней нужно кликнуть чтобы увеличить.
Я понимаю, что у пользователей андроида бывают сложности с использованием мозга, но можно набрать в гугле “android keylogger malware” и подумать какой способ воровства более популярен
Вопрос в том, ставил ли ТС неизвестные программы из непроверенных источников.
Я понимаю, что у пользователей айоса довольно туго с логикой (отсюда и выбор устройства), потому дополнительно поясню, что кейлоггеры и трояны - софт самодостаточный, для кражи средств таким образом нет никакой необходимости звонить жертве.
Цель звонков же обычно состоит именно в том, чтобы заставить жертву поставить себе на телефон софт для удаленного доступа (либо банально продиктовать смс). Если же этого не достаточно - банк явно пишет, что вход осуществлялся с устройста жертвы, соотвественно, приложение, через которое была осуществлена кража, обеспечивало удаленный доступ. Отсюда становится ясно, что если бы приложение было установлено до звонка, то смысла в таком звонке никакого бы не было, ведь удаленный доступ и так дает полный контроль над телефоном.
Я искренне надеюсь, что в такой формулировке это станет понятно даже среднестатистическому пользователю iOS.
Ха, а мы говорим только про случай автора? Хорошая попытка съехать, но нет.
В данной ветке мы говорим про случай автора в первую очередь, ведь начали мы с утверждения о том, что "у него какая-то вирусня на андроиде".
Но тем не менее - если ты думаешь, что под айось нет кейлоггеров и дыр для их установки, то ты сильно заблуждаешься: https://www.pcmag.com/news/google-reveals-watering-hole-attack-targeting-apple-device-owners
Именно ложное чувство безпасноти и в среднем низкий IQ пользователей техники Эпла делает их еще более уязвимыми к любым видам атак.
Вероятность подхватить что-то на ios настолько крошечная, по сравнению с ведроидом, что нормальные люди и не думают об этом.
Это не более чем миф, распространенный среди технически необразованных людей, и о котором я и говорю как о ложном чувстве безопасности. Твой IQ слабоват даже по меркам потребителей продуктов эпол, боюсь, если его перевести в восьмиричную систему счисления - он все равно останется двузначным. По этой причине не вижу смысла продолжать этот диалог)
Лол, фанат ведроида порвался
Было легко)
Проблема не в ведроиде, а в его владельце.
Комментарий недоступен
Это не поможет. Автор, очевидно, поставил себе тимаьюер на телефон, и поделился доступом с мошенниками. Т.е. доступ к смскам он тоже дал.
Комментарий недоступен
Через собственное ухо было бы не видно. Мошенники не просто так людей стараются как можно дольше удерживать.
а для таких недовольных разрешить всё, что они хотят, а для параноиков - запретить всё, что они хотят и будет всем счастье
Здравствуйте, а можно доработать приложение и сделать настройку, чтобы была возможность отключить нафиг снятие наличных по QR -коду?
@Тинькофф приложение получает данные геолокации? Как, при снятии наличных в банкомате можно допустить, что QR код, сгенерированные в одном месте тут же ЛЕГИТИМНО используется в другом?
Вы не поняли, зачем нужны QR-коды. Хотя здесь в комментариях люди уже рассказали. Например, вы снимаете квартиру, хозяин которой находится в другом городе. Если по какой-то причине он не хочет принять оплату переводом на карту, а хочет получить наличные, вы создаете QR-код на определенную сумму и отдаете ему. Он идет к банкомату у себя и снимает нал в течение суток. Создание QR-кода - это такая же операция в личном кабинете, как и перевод денег.
Если это такая же операция, то она также должна подтверждаться кодом и о ней должно приходить уведомление. Банк пока так и не обьяснил, почему в инструкции указано про смс-код, а по факту он не приходит.
Как я понял не приходит если уже авторизовались в ЛК по смс, как и переводы, после авторизации уже когды не просит.
А как можно выпускать коды и совершать переводы в приложении, не авторизовавшись по смс, то есть не зайдя в приложение?
Ну как я понял, автор, авторизовался. Дальше мошенники берут сессию и через устройство жертвы начинают работать в ЛК, где уже доп авторизация не нужна
Слушайте, а вы скорее всего правы. Это же просто идеальная схема все провернуть от имени автора.
Остается только вопрос - как именно мошенники получили доступ к сессии и как именно удаленно через нее работают в ЛК?
На это ответ вы найдете у автора. Или не найдете, автор же ничего никому не сообщал, просто по фану 40 мин на телефоне висел :)
Как я понял 1.5ч ) но автор человнк понимающий, он сказать ничего не мог )
Сам по себе QR код, насколько я понял, работает как раз для передачи налички третьим лицам (не вижу иного сценария использования — сам держатель карты воспользуется для снятия пластиком/nfc). Поэтому нет ничего удивительного в том, что банк не мэтчит гео телефона и банкомата, в котором снимают деньги.
Если QR коды действительно сформированы с устройства пользователя, то вопросов к банку у меня не остается — сомневаюсь, что он будет рисковать, рассказывая в паблике явную ложь. А вот о чем 40 минут вел разговор с мошенниками сам держатель карты — очень любопытно.
Хм, почему вы считаете, что банки никогда не могут обманывать или недоговаривать что-то в паблике? Уже сейчас видно, как банком весьма откровенно обходится скользкий момент с информированием автора о выпуске QR кодов. И об ответственности банка согласно ст. 9 161-ФЗ.
Также банк скромно молчит, как именно можно дистанционно выпустить QR коды в чужом приложении Тинькова незаметно для владельца в тот момент когда он разговаривает по этому телефону? И почему не сработала служба безопасности при неоднократном снятии крупных сумм денег в новом для автора городе новым для него способом. Почему банк не приостановил операции в рамках п. 9.1 ст. 9 161-ФЗ?
Полностью поддерживаю твою позицию и деятельность. Но в данном случае ты сразу подменяешь неизвестные нам Х и уверенно заявляешь, что QR был выпущен в чужом приложении/регионе незаметно для владельца, хотя это не так. Банк заявляет, что вход в приложение был осуществлен с устройства ТС, код сгенерирован в приложении на устройстве ТС. ТС 80 мин говорил с мошенниками, при этом передавал какие то данные. Коды цифровые он то может и не передавал, как и секретные вопросы или еще что то, а вот QR вполне мог кмк не вполне понимая что это( учитывая как он неохотно согласился что данные то передавал).
Это не отменяет того факта, что без подтверждения через смс банк не должен выпускать QR-кодов, если действительно заботится о безопасности. В материалах банка про эти коды указано что выпуск необходимо подтверждать через смс, тем самым банк создаёт у клиентов иллюзию безопасности.
Я с этим частично согласен, но по поводу смс банк вроде бы тоже ответил. Вообще логика ясна если провести аналогию - у тебя квартира стоит на сигналке, ты приходишь домой вводишь код и сигналка снимается. Кто то проник в твою квартиру при этом ввел код (не подбор, не хакнул а именно ввел) и вынес имущество. Не очень логично будет спрашивать почему мне гбр не перезвонил не проверил что это я? они видят, что совершаются стандартные действия. Как проебал/потерял/увели код - это не вина банка/чопа. Это на примере.
Пример так себе. Насколько мне известно, удалённое открытие или закрытие счетов и то невозможно без смс. Без этого у банка не будет доказательств получения распоряжения клиента, следовательно и с QR-кодами доказательств у банка нет.
Открытие/закрытие, другие операции требующие кода - на них код и приходит. Я банк не защищаю, но понимаю его логику. Произошел стандартный вход в приложение, признаков взлома нет, ип, имей и др данные совпадают. Следовательно это клиент совершает операции. В данном случае нюансы уже идут: перевод/платеж/снятие. Но в целом логика и модель действия банка понятна. А вот ТС я понять не могу, как то мутно слишком.
Логика банка утопична. Ни один производитель ПО ничего не гарантирует. Следовательно, требования банка от клиента гарантий защиты своего ЛК от неправомерного доступа третьих лиц заведомо невыполнимые. Напомню недавнюю историю
Citizen Lab обнаружили уязвимость, позволявшую пользователям шпионского программного обеспечения Pegasus тайно запускать программы на чужих устройствах Apple. Вирус, использовавший уязвимость, распространялся через iMessage и не требовал для работы никаких действий со стороны пользователя.Да. Но банк не может отвечать за действия совершаемые на устройствах людей и утечку данных с их стороны. Мы же понимаем, что процесс автоматизирован, оцениваются определенные данные со стороны сб. Проверять каждого клиента, который входит с нового телефона, ПК, впн и тп звонками оператора это никаких денег не хватит. А так я конечно за 2ФА и максимальную безопасность. Либо пусть клиент ради удобства выбирает уровень удобства и безопасности, при этом принимает на себя риски.
Клиенты тоже в полной мере не могут, производители устройств и ПО не хотят. На каком основании банк предъявляет клиентам заведомо невыполнимые условия? Закон обязывает банки предпринять все меры для обеспечения безопасности средств клиента. Банк не предлагал клиенту обезопасить себя от неправомерного выпуска QR-кодов, следовательно, банк сам принял на себя все риски возникшие от упрощения совершения операций за счёт снижения уровня безопасности.
Спасибо за поддержку)
Где именно я уверенно заявляю, подскажите пожалуйста? Если вы про комментарий, на который вы ответили, то перечитайте, пожалуйста, его ещё раз внимательнее. В нем я просто указываю на то, что банк скромно молчит, то есть не объясняет по существу, как именно по его мнению, могла произойти ситуация, что qr коды выпустили дистанционно на устройстве автора без его ведома.
Вот здесь: "Также банк скромно молчит, как именно можно дистанционно выпустить QR коды в чужом приложении Тинькова незаметно для владельца в тот момент когда он разговаривает по этому телефону? И почему не сработала служба безопасности при неоднократном снятии крупных сумм денег в новом для автора городе новым для него способом."
Банк же дал ответ: вход был с устройства ТС, признаков взлома/проникновения не было. Утверждать, что вход был с другого региона и устройства у нас нет оснований. К тому же ТС тактично молчит о чем можно говорить 40 мин когда видишь, что у тебя 150к уплывают и какие данные все таки он передавал.
Банк утверждает, что коды были выпущены с устройства автора, хотя автор утверждает, что он коды не выпускал. Значит по мнению банка получается, что коды были выпущены на устройстве автора дистанционно и незаметно для него. Но как именно это было сделано, банк не объясняет.
Ну здесь слово ТС против слова банка. Но думаю у банка есть определенные доказательства входа в приложение с устройства тс без взлома. Так же признание ТС, что он передавал некоторые данные. Совокупность наводит на мысль, что просчет допустил ТС. Либо это какой то высоктехнологичный взлом, за который опять же банк не может нести 100%, он не контролирует что там химичит с телефоном ТС. В такой взлом мне слабо верится, потому что были бы и другие такие случаи и статьи о дырах на том же Хакере
лично я использую QR коды для снятия в банкомате сам, т.к. карта, чаще всего, остаётся дома. При необходимости кому-то передать деньги - проще, удобнее и надёжнее - перевести по СБП например.
Прелесть куар в том, что для налоговой это выглядит как снятие своих средств и никто не знает кто по факту их снял.
ну хоть кто-то пользуется. хотя это странный изыск
1. "По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает." - то есть вы не считаете, что уведомление клиента о совершаемой операции по потенциальному снятию наличных снизит риск мошеннических операций?
2. "Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству." - блокировка карты, насколько мне известно произошла еще до моего звонка, после четвертого снятия, т.е. банк все-таки счел операцию подозрительной?
3. "Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия." По версии банка, кто совершает операцию по снятию наличных с помощью QR-кода, клиент или третьи лица? Правильно ли я понимаю, что если окажется, что в Пятигорске эти средства, сняли, например, представители какой-нибудь запрещенной в РФ организации, то меня еще и по статье "финансирование терроризма" можно подтянуть ))) ? Я же операцию по Вашей версии сам произвел )
Автор, для честности и полноты ситуации - о чем с мошенниками вы разговаривали?
Какая уже разница, если Банк ответил, что входов со сторонних устройств не было? Остаётся по сути только троян из простых вариантов
Ну или автор сам скриншоты кодов переслал им на почту. Он же отмалчивается о теме общения, очевидно что если расскажет, то окажется что сам все и выдал. А так все же надеется что денежку как-то вернут, хоть и маловероятно.
Я о выпуске QR кодов узнал только по факту снятия, так что переслать ну никак не мог)
Да вы у нас просто Красная Шапочка которая гуляет по лесу. Насчёт разговора так и будете молчать?
Не стыдно?
Мы не отправляем дополнительное уведомление о выпуске QR, поскольку вы самостоятельно выполняете это в приложении. Возможно, пересмотрим этот момент в будущем. При этом, если у нас возникнут подозрения, то мы можем запросить код подтверждения при формировании QR на снятие.
Карту мы заблокировали при звонке. До этого мы не дали пройти операции, поскольку действительно возникли подозрения.
Если вы отказываетесь от операций, то речь идет о мошенничестве в вашу сторону. Все дальнейшие расследования должна проводить полиция, независимо от того, кто снял деньги.
Называется как ответить на вопрос, не отвечая на вопрос )
1. Вы не считаете, что информирование клиента о выпуске QR - кода повысит безопасность? Хочется ответ не в стиле прямой линии с президентом: считаем/не считаем.
2. Т.е. вы подтвердили, что пятая операция Банку показалась нехарактерной? А с какого перепуга тогда предыдущие четыре такими не показались?
3. Я вас не о расследовании спрашивал, а о том, как Банк расценивает в принципе: кто осуществляет "снятие" средств при использовании данного функционала. Я понимаю, что "хорошего" ответа для Банка в данной ситуации нет, но хватит трусить, уж ответьте: клиент или третьи лица осуществляют снятие наличных в банкомате посредством QR-кода? А или Б, без лирики в стиле известно кого)
1. Мы считаем, что в целом любое информирование повышает безопасность, однако как и указали ранее - клиент выпускает QR-код для снятия наличных самостоятельно через приложение, доступ к которому должен быть исключительно у клиента. Информирование о каждом действии в личном кабинете или приложении будет больше похоже на спам.
2. 8 сентября мы отклонили две операции, поскольку достигли лимит на снятие с помощью QR-кода.
3. Снимать наличные по QR-коду могут как клиенты, так и третьи лица.
Еще раз проверим информацию и по всем трем пунктам вам ответим.
Добрый день! Когда ориентировочно ожидать ответы на данные вопросы?
Добрый день. Точных сроков подсказать не можем, постараемся ответить в ближайшее время.
а у вас есть видео того, кто снимал деньги в банкомате?
Они же написали: "нужный запрос", т.е. если полиция заставит их правильным запросом что-то предоставить, то предоставят ) а так ни на что не ответят и ничего не предоставят, самим им неинтересно, есть у них какие-то уязвимости или нет)
т.е. человек никогда не пользовался этим сервисом и у вас нет оснований?
кто вообще этим сервисом пользуется, можете хотя бы теоретический сценарий рассказать? особенно из Питера в Пятигорск?
А что насчёт закона о платёжной системе?
"Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам".
Мне вот интересно...
Сверили ip, чекнули устройство, всё классно и здорово. НО! Неужели у вас не реализовано правило, к примеру, на быстрое перемещение со снятием нала (будь он неладен)? Ведь автор сказал, что операция выполнена в Пятигорске (если я не ошибаюсь). Плюс это операция по снятию, а значит можно сопоставлять время последней операции по карте (с вводом пина или контаклес не в е-ком) и данной операцией, да и посмотреть - реально ли так быстро переместиться из точки А в точку Б? Если нет - алерт + блокировка карты сразу. Понятное дело, что вы не ответите на этот коммент, но хотя бы задумайтесь, а то какая-то чепуха получается.
Если у вас на службе у АФ стоит какая-нибудь "невероятная нейронка", то учитывайте, что есть конкретные кейсы, где она не спасёт) Такие кейсы лучше вылавливать правилами, которые настроены вручную.
Автору соболезную и желаю удачи в попытках добиться своего. Надеюсь, что потом отпишет всё-всё в подробностях.
Тиньку удачи в совершенствовании АФ систем и коммуникациях с клиентами.
Всем остальным - хорошего начала трудовой недели.
Вот из-за такого вашего отношения, вернулся в открытие. Пусть кэшбэк меньше, но спится крепче.
@Тинькофф
Странная идея. Почему в таком случае запрашивается код из СМС в случае перевода по номеру телефона? Ведь я уже в приложение зашел, то есть уже авторизовался. Быть может потому, что вы ОБЯЗАНЫ уведомлять о каждой финансовой операции? Ну а выпуск QR разве не финансовая операция? Считаю, что да.
Комментарий удален модератором