Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.
Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.
@Тинькофф приложение получает данные геолокации? Как, при снятии наличных в банкомате можно допустить, что QR код, сгенерированные в одном месте тут же ЛЕГИТИМНО используется в другом?
Вы не поняли, зачем нужны QR-коды. Хотя здесь в комментариях люди уже рассказали. Например, вы снимаете квартиру, хозяин которой находится в другом городе. Если по какой-то причине он не хочет принять оплату переводом на карту, а хочет получить наличные, вы создаете QR-код на определенную сумму и отдаете ему. Он идет к банкомату у себя и снимает нал в течение суток. Создание QR-кода - это такая же операция в личном кабинете, как и перевод денег.
Если это такая же операция, то она также должна подтверждаться кодом и о ней должно приходить уведомление. Банк пока так и не обьяснил, почему в инструкции указано про смс-код, а по факту он не приходит.
Как я понял не приходит если уже авторизовались в ЛК по смс, как и переводы, после авторизации уже когды не просит.
А как можно выпускать коды и совершать переводы в приложении, не авторизовавшись по смс, то есть не зайдя в приложение?
Ну как я понял, автор, авторизовался. Дальше мошенники берут сессию и через устройство жертвы начинают работать в ЛК, где уже доп авторизация не нужна
Слушайте, а вы скорее всего правы. Это же просто идеальная схема все провернуть от имени автора.
Остается только вопрос - как именно мошенники получили доступ к сессии и как именно удаленно через нее работают в ЛК?
На это ответ вы найдете у автора. Или не найдете, автор же ничего никому не сообщал, просто по фану 40 мин на телефоне висел :)
Как я понял 1.5ч ) но автор человнк понимающий, он сказать ничего не мог )
Сам по себе QR код, насколько я понял, работает как раз для передачи налички третьим лицам (не вижу иного сценария использования — сам держатель карты воспользуется для снятия пластиком/nfc). Поэтому нет ничего удивительного в том, что банк не мэтчит гео телефона и банкомата, в котором снимают деньги.
Если QR коды действительно сформированы с устройства пользователя, то вопросов к банку у меня не остается — сомневаюсь, что он будет рисковать, рассказывая в паблике явную ложь. А вот о чем 40 минут вел разговор с мошенниками сам держатель карты — очень любопытно.
Хм, почему вы считаете, что банки никогда не могут обманывать или недоговаривать что-то в паблике? Уже сейчас видно, как банком весьма откровенно обходится скользкий момент с информированием автора о выпуске QR кодов. И об ответственности банка согласно ст. 9 161-ФЗ.
Также банк скромно молчит, как именно можно дистанционно выпустить QR коды в чужом приложении Тинькова незаметно для владельца в тот момент когда он разговаривает по этому телефону? И почему не сработала служба безопасности при неоднократном снятии крупных сумм денег в новом для автора городе новым для него способом. Почему банк не приостановил операции в рамках п. 9.1 ст. 9 161-ФЗ?
Полностью поддерживаю твою позицию и деятельность. Но в данном случае ты сразу подменяешь неизвестные нам Х и уверенно заявляешь, что QR был выпущен в чужом приложении/регионе незаметно для владельца, хотя это не так. Банк заявляет, что вход в приложение был осуществлен с устройства ТС, код сгенерирован в приложении на устройстве ТС. ТС 80 мин говорил с мошенниками, при этом передавал какие то данные. Коды цифровые он то может и не передавал, как и секретные вопросы или еще что то, а вот QR вполне мог кмк не вполне понимая что это( учитывая как он неохотно согласился что данные то передавал).
Это не отменяет того факта, что без подтверждения через смс банк не должен выпускать QR-кодов, если действительно заботится о безопасности. В материалах банка про эти коды указано что выпуск необходимо подтверждать через смс, тем самым банк создаёт у клиентов иллюзию безопасности.
Я с этим частично согласен, но по поводу смс банк вроде бы тоже ответил. Вообще логика ясна если провести аналогию - у тебя квартира стоит на сигналке, ты приходишь домой вводишь код и сигналка снимается. Кто то проник в твою квартиру при этом ввел код (не подбор, не хакнул а именно ввел) и вынес имущество. Не очень логично будет спрашивать почему мне гбр не перезвонил не проверил что это я? они видят, что совершаются стандартные действия. Как проебал/потерял/увели код - это не вина банка/чопа. Это на примере.
Пример так себе. Насколько мне известно, удалённое открытие или закрытие счетов и то невозможно без смс. Без этого у банка не будет доказательств получения распоряжения клиента, следовательно и с QR-кодами доказательств у банка нет.
Открытие/закрытие, другие операции требующие кода - на них код и приходит. Я банк не защищаю, но понимаю его логику. Произошел стандартный вход в приложение, признаков взлома нет, ип, имей и др данные совпадают. Следовательно это клиент совершает операции. В данном случае нюансы уже идут: перевод/платеж/снятие. Но в целом логика и модель действия банка понятна. А вот ТС я понять не могу, как то мутно слишком.
Логика банка утопична. Ни один производитель ПО ничего не гарантирует. Следовательно, требования банка от клиента гарантий защиты своего ЛК от неправомерного доступа третьих лиц заведомо невыполнимые. Напомню недавнюю историю
Citizen Lab обнаружили уязвимость, позволявшую пользователям шпионского программного обеспечения Pegasus тайно запускать программы на чужих устройствах Apple. Вирус, использовавший уязвимость, распространялся через iMessage и не требовал для работы никаких действий со стороны пользователя.Да. Но банк не может отвечать за действия совершаемые на устройствах людей и утечку данных с их стороны. Мы же понимаем, что процесс автоматизирован, оцениваются определенные данные со стороны сб. Проверять каждого клиента, который входит с нового телефона, ПК, впн и тп звонками оператора это никаких денег не хватит. А так я конечно за 2ФА и максимальную безопасность. Либо пусть клиент ради удобства выбирает уровень удобства и безопасности, при этом принимает на себя риски.
Клиенты тоже в полной мере не могут, производители устройств и ПО не хотят. На каком основании банк предъявляет клиентам заведомо невыполнимые условия? Закон обязывает банки предпринять все меры для обеспечения безопасности средств клиента. Банк не предлагал клиенту обезопасить себя от неправомерного выпуска QR-кодов, следовательно, банк сам принял на себя все риски возникшие от упрощения совершения операций за счёт снижения уровня безопасности.
Спасибо за поддержку)
Где именно я уверенно заявляю, подскажите пожалуйста? Если вы про комментарий, на который вы ответили, то перечитайте, пожалуйста, его ещё раз внимательнее. В нем я просто указываю на то, что банк скромно молчит, то есть не объясняет по существу, как именно по его мнению, могла произойти ситуация, что qr коды выпустили дистанционно на устройстве автора без его ведома.
Вот здесь: "Также банк скромно молчит, как именно можно дистанционно выпустить QR коды в чужом приложении Тинькова незаметно для владельца в тот момент когда он разговаривает по этому телефону? И почему не сработала служба безопасности при неоднократном снятии крупных сумм денег в новом для автора городе новым для него способом."
Банк же дал ответ: вход был с устройства ТС, признаков взлома/проникновения не было. Утверждать, что вход был с другого региона и устройства у нас нет оснований. К тому же ТС тактично молчит о чем можно говорить 40 мин когда видишь, что у тебя 150к уплывают и какие данные все таки он передавал.
Банк утверждает, что коды были выпущены с устройства автора, хотя автор утверждает, что он коды не выпускал. Значит по мнению банка получается, что коды были выпущены на устройстве автора дистанционно и незаметно для него. Но как именно это было сделано, банк не объясняет.
Ну здесь слово ТС против слова банка. Но думаю у банка есть определенные доказательства входа в приложение с устройства тс без взлома. Так же признание ТС, что он передавал некоторые данные. Совокупность наводит на мысль, что просчет допустил ТС. Либо это какой то высоктехнологичный взлом, за который опять же банк не может нести 100%, он не контролирует что там химичит с телефоном ТС. В такой взлом мне слабо верится, потому что были бы и другие такие случаи и статьи о дырах на том же Хакере
лично я использую QR коды для снятия в банкомате сам, т.к. карта, чаще всего, остаётся дома. При необходимости кому-то передать деньги - проще, удобнее и надёжнее - перевести по СБП например.
Прелесть куар в том, что для налоговой это выглядит как снятие своих средств и никто не знает кто по факту их снял.
ну хоть кто-то пользуется. хотя это странный изыск