С дебетовой карты «Тинькофф» украли мои средства

Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.

В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.

Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.

Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.

В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:

1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?

2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!

3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.

4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!

На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.

0
1160 комментариев
Написать комментарий...
Тинькофф

Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.

В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.

Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.

Ответить
Развернуть ветку
Андрей Полухов

Автор не говорил, что сам генерировал QR-коды. Кому теперь верить ?

Ответить
Развернуть ветку
Никита Шультайс

Очень похоже, что у автора на телефоне был троян.

Особенно тот факт, что его держали на связи около 40 минут, за это время как раз генерируют коды и выводят деньги.

Раньше мошенники просили положить телефон вниз экраном на стол, чтобы пользователь не видел того, что происходит. Тут попался более опытный мошенник, который удерживал внимание 40 минут разговорами.

Ответить
Развернуть ветку
Искатель

Да, такое возможно, но банк ни слова не написал про троян и как именно он мог незаметно для автора выпустить коды в приложении, про то, как коды оказались у людей в Пятигорске, хотя автор из Санкт-Петербурга, и почему банку не показалось подозрительным неоднократное снятие средств в короткий промежуток времени в другом городе новым для автора способом? Если это был некий удаленный рабочий стол, то как автор мог не увидеть, что именно происходит у него на экране?

Ответить
Развернуть ветку
russur

Но ведь эти QR коды и предназначены для того чтобы снимать деньги клиента тому у кого этот код оказался, и там где удобно этому человеку?
Задумка такая у них? Тогда конечно они не будут ничего спрашивать, хоть в Болгарии снимай.

Ответить
Развернуть ветку
Искатель

С одной стороны да. С другой стороны это одновременно является благодатной почвой для мошенничества, и банк должен внимательно следить за происходящим.

Сами посудите, что произошло.

Банк не подтвердил выпуск QR кодов смс-кодом и до сих пор внятно не объяснил почему.

Банк не уведомил автора о выпуске QR кодов.

Банк не увидел признаков операции без согласия клиента при выводе новым для автора способом крупных сумм в другом городе, новом для автора.

Вы часто даёте другим людям QR коды для вывода всех ваших средств в другом новом городе? Это вам не показалось бы подозрительным?

Банки обычно всегда, особенно при крупных суммах, подтверждают операции новым способом, в новом городе, новому получателю и т.д. После подтверждения банк запоминает и больше не спрашивает. И это правильная практика финансовой безопасности, если подтверждение оперативное и без технических сбоев.

Ответить
Развернуть ветку
russur

Да я вообще об этих кодах узнал из статьи, и с удовольствием избавился бы от возможности их выпустить.

Но они объяснили почему выпуск кода не подтверждается - потому что это делается из приложения, а значит делается самим автором.
Аргумент странный, например увеличение лимита из приложения надо подтвердить кодом.

Ответить
Развернуть ветку
Искатель

О том и речь, что очень странный.

При том, что в инструкции самого же банка указано иное - см. скрин.

То есть получается, изменение лимита надо подтверждать кодом, а по сути снятие всех денег со счета не надо, банк посчитал, что априори все с согласия автора происходит.

И самое главное, мы ведь не можем проверить правду говорит банк или нет. Что мешает банку говорить, что вход был только с устройства автора, хотя был вход и с устройства мошенников по данным автора? А логи и айпишники просто подредактировать в случае необходимости. Я уже видел в судах как компании редактировали данные и потом приносили их в суд в письменной форме как якобы достоверные и что-то подтверждающие.

Ответить
Развернуть ветку
Alex

Я так полагаю потому что разговаривал по телефону

Ответить
Развернуть ветку
Дмитрий Иванов

Автору не помешало бы уточнить, какой оператор мобильной связи использовался на тот момент, и был ли он подключен по WiFi, ибо не всегда при голосовой связи возможна передача данных, без которой, соответственно, невозможно удаленное управление устройством или работа Трояна

Ответить
Развернуть ветку
Искатель

Я об этом тоже подумал, кстати.

Также важно понять, если это всё-таки троян, то как именно может троян получать доступ напрямую к функциям приложения Тинькова вплоть до выпуска QR кодов? Если бы троян подсмотрел смс коды, то тут все понятно. Но выпустить qr коды в стороннем приложении в момент разговора по телефону - это уже что-то новенькое.

Ответить
Развернуть ветку
Артём Иванов

Скорее всего это удаленный доступ к телефону, но такое сейчас поидее только на старых андройдах сработает. Новый, как не пытайся, без рута разрешит только просмотр экрана, с согласия пользователя (anydesk), но не разрешит управление.

А тут, видимо, пока с ним разговаривали, на телефоне удаленно могли делать что угодно.

Ответить
Развернуть ветку
Никита Шультайс

Мошенник задавал правильные вопросы, а автор ухом нажимал нужные кнопки :-D

Ответить
Развернуть ветку
Gre Li

Все телефоны отключают сенсорный экран при поднесении к уху, иначе им было бы невозможно пользоваться.

Ответить
Развернуть ветку
Дмитрий Иванов

Во время голосовой связи должна была работать передача данных, чтобы провернуть такое, об этом автор не уточнил пока.

Ответить
Развернуть ветку
tommyspb

Anydesk работает на управление и без рута

Ответить
Развернуть ветку
Дмитрий Иванов

При этом троян должен уметь выбрать в приложении нужную карту с деньгами, уметь указать сумму, и далее уметь получить код, и сделать так нужно 3 раза. Блин, ну нееееет))))

Ответить
Развернуть ветку
Алискеров Джалил

Какой троян. Автора 40 минут обрабатывали. Он бы и qr код сформировал и коды из смс продиктовал. Автор можно сказать курсы себе оплатил от последующих наибалов.

Ответить
Развернуть ветку
Mike Ross

Если логи покажут что устройство только одно , то автор сам себе злобный буратино

Ответить
Развернуть ветку
Old Car Raffle
Автор не говорил, что сам генерировал QR-коды. Кому теперь верить ?

Автор зачем-то лжет. Например, говорил, что звонили с номера банка... но бедняга не в курсе, что уже год это не возможно. У операторов есть списки номеров, по которым звонки возможны только по определенный направлениям (подмена Caller ID невозможна)

Ответить
Развернуть ветку
Ruslan Asakaev

А вот Тинькофф считает что возможно:"Вы не можете быть уверены, что звонит банк, даже если у банка всего один номер телефона. Мошенники могут его подменить."-коммент ниже.

Альфа в комментах к недавнему посту по ним в Приемной тоже считает, что подмена возможна.

Будут пруфы обратного?

Ответить
Развернуть ветку
Old Car Raffle

@Сбер Возможна ли сейчас подмена подмена вашего номера, например 900 мошенниками?

@Банк ВТБ Возможна ли сейчас подмена вашего номера, например 1000 мошенниками?

Ответить
Развернуть ветку
Сбер

Нет, наш номер 900 подменить нельзя

Ответить
Развернуть ветку
Old Car Raffle

@Ruslan Asakaev Вопросы есть? Вопросов нет

Ответить
Развернуть ветку
Ruslan Asakaev

Я цитирую Альфу и Тинькофф, в ответ мне тыкают в Сбер.
Л-логика.

Ответить
Развернуть ветку
Искатель

Главные вопросы в том, кому поверит суд, что на самом деле произошло и кто на самом деле должен нести ответственность?

Ответить
Развернуть ветку
Yuri

Сессия тинька и бек прокси с устройства (чтобы не морочится с подделкой устройства и ип жертвы был), нихрена не надо учить троян все там делать.

Ответить
Развернуть ветку
Искатель

Не могли бы, пожалуйста, чуть подробнее объяснить на доступном языке?)

Ответить
Развернуть ветку
Redmi Note3Pro

Ну бьять... Ну как тибе сказать...
Пиазение на тиифоне саздаёт сессию с сивиами тинькова. Сессия-мэссия имеет свой уикайный итинтификатарь. Еси завадеть этим итинтификатарамь, то севеы тинькова будут думать, фо это ты.
Но какбы сессию нада бы пииадичиски свиять. Ну, па таму жы айпи. Ну ии пастаянна посе каздава чиха запасивать афтаизацию. Бедово, павда? Воть и астаёца тока айпи и ид сессии (пофигу, засифованый ии неть).
А еси есё сдеать бэк-покси с тиифона зэтвы, то тафик пойдёт чеез тиифон зэтвы. Бинго!
Ню воть

Ответить
Развернуть ветку
Искатель

Неплохо вы развлеклись, зачет))

Получается, уже даже обычные люди, не специалисты по безопасности, здесь в теме уже начали понимать что происходит и задавать Тинькову правильные вопросы.

Какого хрена не подтверждается двухфакторкой или хотя бы просто пин-кодом, который знает только клиент, каждая отдельная операция?

Какого хрена Тиньков приравнивает авторизацию при входе в приложение, то есть авторизацию при создании сессии, к авторизации всех других операций в пределах сессии?

Почему Тиньков считает, что можно настолько безалаберно забить на авторизацию после создания сессии и часть или все операции в пределах сессии проводить без подтверждения, необоснованно считая их совершенными от имени и с согласия клиента?

А если Тиньков еще и айди сессии не шифрует, то это вообще рукалицо...

Получается Тиньков либо тупо делает вид, что не знает про подобные нехитрые схемы и разыгрывает дурачка про то, что у банка "не было оснований полагать, что операции совершаются не вами", либо там работают настолько безграмотные специалисты по безопасности.

Думаю, отсутствие отдельной авторизации по каждой отдельной операции опытный юрист должен смочь представить как несоблюдение банком надлежащих мер безопасности.

И, если в том же суде по полочкам разложить всю подноготную клиент-серверного взаимодействия у Тинькова и показать, какая у Тинькова там дырища, это может очень сильно помочь в выигрыше дела.

Ответить
Развернуть ветку
Sitewell Ad

Ну а почему суд не должен поверить логам банка? Разве не такие доказательства обычно предоставляются в подобных делах?
Предположим, что они их предоставят (а так будет с вероятностью 99%), а там отображается, что никто не заходил в приложение, кроме самого автора.

Ответить
Развернуть ветку
Искатель

То есть у вас не вызвало бы на месте суда сомнение доказательство, предоставленное заинтересованной стороной из своей собственной базы, достоверность которого никто кроме заинтересованной стороны не может подтвердить?

Это прямо как ДНС, представитель которого для доказательства цены фактически прямо в суде на коленках от своего имени клепал справки о цене товара в определенный день) А потом уже начал выгрузки из базы делать с видными невооруженным глазом правками данных и тоже собственноручно их заверять)

Ответить
Развернуть ветку
Sitewell Ad

И как в итоге, суд поверил представителю ДНС и его справкам?

Ответить
Развернуть ветку
Искатель

Не особо, после того как были представлены кассовые чеки, выданные ДНС об оплате товара в те же самые дни) Они пытались и чеки оспорить - типа без подтверждения налоговой это все фигня, а не чеки. Но суд уже не выдержал и послал их куда подальше с их запросами в налоговую) Потому что сколько уже можно)) Не ожидали они просто, что другая сторона будет готова к их уловкам)

Ответить
Развернуть ветку
Sitewell Ad

И что, суд таки поверил только чекам? Без подтверждения в налоговой? На любую трассу выезжайте, там для дальнобоев не один десяток лет печатают абсолютно любые чеки.

Ответить
Развернуть ветку
Искатель

Там не только чеки были, а еще скриншоты личного кабинета и писем с подтверждением заказов на почту, видео оформления заказов, смс-сообщения от ДНС и т.д. В общем, по совокупности все очевидно было для суда.

Ответить
Развернуть ветку
1157 комментариев
Раскрывать всегда