Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.
Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.
1. "По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает." - то есть вы не считаете, что уведомление клиента о совершаемой операции по потенциальному снятию наличных снизит риск мошеннических операций?
2. "Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству." - блокировка карты, насколько мне известно произошла еще до моего звонка, после четвертого снятия, т.е. банк все-таки счел операцию подозрительной?
3. "Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия." По версии банка, кто совершает операцию по снятию наличных с помощью QR-кода, клиент или третьи лица? Правильно ли я понимаю, что если окажется, что в Пятигорске эти средства, сняли, например, представители какой-нибудь запрещенной в РФ организации, то меня еще и по статье "финансирование терроризма" можно подтянуть ))) ? Я же операцию по Вашей версии сам произвел )
Мы не отправляем дополнительное уведомление о выпуске QR, поскольку вы самостоятельно выполняете это в приложении. Возможно, пересмотрим этот момент в будущем. При этом, если у нас возникнут подозрения, то мы можем запросить код подтверждения при формировании QR на снятие.
Карту мы заблокировали при звонке. До этого мы не дали пройти операции, поскольку действительно возникли подозрения.
Если вы отказываетесь от операций, то речь идет о мошенничестве в вашу сторону. Все дальнейшие расследования должна проводить полиция, независимо от того, кто снял деньги.
Называется как ответить на вопрос, не отвечая на вопрос )
1. Вы не считаете, что информирование клиента о выпуске QR - кода повысит безопасность? Хочется ответ не в стиле прямой линии с президентом: считаем/не считаем.
2. Т.е. вы подтвердили, что пятая операция Банку показалась нехарактерной? А с какого перепуга тогда предыдущие четыре такими не показались?
3. Я вас не о расследовании спрашивал, а о том, как Банк расценивает в принципе: кто осуществляет "снятие" средств при использовании данного функционала. Я понимаю, что "хорошего" ответа для Банка в данной ситуации нет, но хватит трусить, уж ответьте: клиент или третьи лица осуществляют снятие наличных в банкомате посредством QR-кода? А или Б, без лирики в стиле известно кого)
1. Мы считаем, что в целом любое информирование повышает безопасность, однако как и указали ранее - клиент выпускает QR-код для снятия наличных самостоятельно через приложение, доступ к которому должен быть исключительно у клиента. Информирование о каждом действии в личном кабинете или приложении будет больше похоже на спам.
2. 8 сентября мы отклонили две операции, поскольку достигли лимит на снятие с помощью QR-кода.
3. Снимать наличные по QR-коду могут как клиенты, так и третьи лица.