Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Что за qr коды, дичь какая то, нахрен они вообще нужны? Какой предполагается сценарий использования?
Ну, например, хотите вы украсть деньги с чужой карты и можно использовать QR-коды. Очень удобно, как видите.
А можно и другие выводы из статьи сделать. Например, я уже который раз замечаю из подобных статей, что мошенники просят жертву войти в приложение, при этом реально не просят огласить никакой секретной информации, дальше у жертвы обнаруживаются транзакции в личном кабинете, которых он не совершал, а Тинькофф после разбора отвечает, что входа в приложение с других устройств/IP не было. Из чего можно сделать два вывода: 1. При подозрительных звонках лучше в приложение не заходить, а сразу самому перезванивать на горячую линию и просить временную блокировку; 2. Очевидно уже, что ИТ-мошенники научились обходить проверку на вход, видимо в Тинькофф она срабатывает, только когда клиент заходит в приложение, а дальше, пока он там находится, мошенник также получает туда доступ и никакие проверки со стороны системы банка уже не осуществляются - это очевидная дыра в безопасности Тинькофф (может и у других банков тоже, но мне попадались статьи с описанием такого алгоритма только про данный банк). И дальше на все вопросы банк отвечает, что никто кроме клиента в приложение не заходил - очень удобная позиция для банка, не правда ли, ведь это снимает все вопросы со стороны правоохранительных органов и даже не надо тратить деньги на заделку черных дыр в своей системе безопасности... Зачем, банк и так все устраивает)
Это и без статьи давно известно.
Все начинается с того, что клиент ставит на телефон какую-нибудь ломаную хрень и даёт ей все запрашиваемые права.
Хрень сообщает своему владельцу, что клиент лох, дозрел для обработки и передаёт номер телефона.
Далее мошенник за пару минут при попытке перевода по сбп узнает к каким банкам этот номер привязан. А при попытке перевода через сбер узнает имя-отчество и первую букву фамилии.
В принципе уже достаточно. Но поиском в интернете по этим данным можно и полную фамилию найти, а в особо запущенных случаях и номер карты. Ну и ещё чего-нибудь, у одаренных модно всю жизнь в интернет выкладывать.
Остаётся одно препятствие - зайти в банковское приложение через хрень не получается, так как требуется палец или код.
Вот теперь можно звонить, рассказывать сказки, а между делом попросить зайти в приложение.
Далее сказки продолжаются, некоторые одаренные эти сказки по полтора часа слушают, а в это время хрень копается в банковском приложении и делает что требуется. В данном случае, наверное, выпускает qr-коды и передаёт мошеннику. Поэтому и входы в приложение только с одного устройства и никакой дыры в банке нет.
Хотя нет, есть дыра, но только в виде клиента банка. И заделать эту дыру никак не получится, потому что хрень на телефоне - ответственность исключительно пользователя этого телефона. Практически это равносильно как если бы зайти в банковское приложение и отдать телефон в чужие руки.
Работать это будет с любым банком, только скорее всего хрень должна быть заточена под конкретное приложение конкретного банка, поэтому рациональнее выбирать банки с большим количеством клиентов.
Вот и все. Вина банка есть? Нету. Все же смартфоны при кажущейся простоте требуют хоть немного мозгов. И те, у кого они есть, могут немного подоить тех, у кого их нет.
Вы что-то очень непопулярную точку зрения высказали, зачем вы забираете у людей надежду/s