Ничего не предвещало. Вечером 13.11.2021 легла спокойно спать, никаких смс и уведомлений ни от банка, ни от Билайна. Утро 14.11.2021 тоже началось спокойно. В 10:00 решила позвонить маме, на что Билайн мне говорит, что мой номер заблокирован (хотя баланс положительный) и для разблокировки необходимо ввести команду *213#.
Ввожу эту команду, номер разблокируют и всё ок. Через минут 10 приходит уведомление в приложении Тинькофф о том, что контактный номер изменён, если это сделали не Вы, то звоните на номер 88005551010, тут же звоню, спрашиваю кто и на каком основании меняет мой номер.
Приходит ещё одно уведомление «кодовое слово изменено», пока общаемся с девушкой из Тинькофф, пытаюсь зайти в приложение, все данные изменены, пока всё обратно меняем, номер телефона и пр. с кредитной карты улетают все деньги (105 000 руб) на какую-то левую карту. Возмущению нет предела! Почему нельзя сразу заморозить операцию? Ведь понятно же что это мошеннические действия!!!
В итоге поговорив с тремя операторами, которые пытались что-то выяснить за 40 минут, кроме того что зафиксировали моё обращение и сказав «ждите рассмотрения», больше ничего! После общения с Тинькофф, звоню в Билайн… 20 минут ожидания и Аллилуйя!!! оператор берет трубку. Возникает логичный вопрос: ПОЧЕМУ НЕ ПРИХОДИЛО УВЕДОМЛЕНИЕ, ЧТО НОМЕР ЗАБЛОКИРОВАН?? (Как выяснилось он был заблокирован ещё 13го вечером)
Ведь даже о балансе приходят смски, а тут Блокировка!!! На что девушка мне ответила, что номер я заблокировала лично ну или мои родные, которые знают данные паспорта…. Вы серьёзно??? Ребята из Тинькофф и Билайн, может это у вас проблемы со службой безопасности, что мои данные были раскрыты???
Вопроса два: Билайн, зная, что я пользуюсь этой симкой больше десяти лет, я не заслужила коротенького уведомления о том, что мой номер заблокирован? Тинькофф, вы так гордитесь своей службой безопасности и, при переводе такой крупной суммы, вы даже не удосужились позвонить подтвердить перевод? Да и кстати почему документы по мошенническому переводу невозможно открыть.
П.С. лучше обратно на свой старенький проверенный годами Сбер
Комментарий недоступен
Я уже много раз писал и даже предлагал изменения разработчикам.
Измененный владелец номера + новое устройство = большая вероятность мошенничества. Особенно, если сразу же берут кредит.
Разработчикам Тинькофф надо настроить правильно антифрод систему, чтобы учитывать все факторы. Посмотрите на Google, там даже СМС входа сейчас нету (за редким исключением). И любое новое устройство сразу Google считает подозрительным
Да хотя бы заблокировать кредиты на 1 день после смены устройства
Комментарий недоступен
Они позиционирует себя как банк, в котором всё на чиле, удаленно, легко и просто. А любая антифрод система - это определенные ограничения. Это уже не вяжется с их концепцией. Поэтому им пофиг на все. Таких краж все равно единицы в общей массе клиентов. Для них это просто погрешность, зато остальные довольные, как все просто можно сделать в этом банке. Увы.
Тогда удивительно, что так мало краж, если это действительно так легко сделать.
То есть реально получается можно позвонить в Билайн, и сказать - заблокируйте номер этого мудака Васи, вот его его паспортные данные такие-то.
Билайн радостно говорит - окей заблокировали.
Потом звонишь в Тиньков с нового номера - говоришь привет, перепривяжите телефонный номер этого Васи на мой новый номер, я хочу зайти в его личный кабинет и украсть его деньги со всех его счетов, в том числе кредитных.
Вот паспортные данные этого Васи, ну а кодовое слово я не знаю.
И Тиньков говорит - хм, ну кодовое слово не знаешь... Ну да ладно фиг с ним, ага окей перепривязали на твой новый номер, всё можешь снимать у него бабло.
P.S. Ну наверное не всё уж так просто, наверное они хоть что-то дополнительное спрашивают типа ну хоть примерно скажи какие траты и когда у тебя были, и т.д. но это защита такая... При желании это наверное можно узнать, хоть примерно.
Почему увы?
Пострадавших - несколько десятков клиентов, зато миллионы бенефициаров.
А Альфа и прочие втб отправляют меня менять номер телефона в ближайшее отделение не потому, что ппц как обеспокоены безопасностью моих средств (ха-ха), а просто потому, что не умеют делать это по-другому.
Комментарий недоступен
Почему? Потому что не должны по закону и потому что понимают, что пользователям в массе на это плевать (так же как и им самим). А если бы пользователям было на это не наплевать, у Тинькова никогда не было бы столько клиентов. Круг замкнулся)
Комментарий недоступен
Комментарий недоступен
Кодовое слово может быть в базах данных какого-то слитого банка. С учетом того, что люди часто не ставят на каждый банк новое слово, кодовые слова вообще можно выбросить и не использовать как способ идентификации
Комментарий недоступен
А мне кажется, что кодовые слова вполне рабочий вариант, если они хранятся и передаются исключительно в зашифрованном виде. И доступа к слову нет ни у кого, кроме как у клиента. Если клиент забыл слово, то его смена только лично в отделении лично клиентом. Само собой для каждого банка необходимо иметь уникальное кодовое слово и регулярно эти слова менять.
То есть проблема часто не в самом способе авторизации, а в его реализации и соблюдении элементарных мер безопасности на уровне клиента и банка.
Ага, оно же называется "пароль..."
—
Изначально кодовое слово использовалось для быстрой идентификации клиента для иницированния удаленной блокировки доступа при компрометации данных. Поэтому оно должно быть простым, запоминающимся и доступным для передачи по телефону.
У нас же получается обратная ситуация, когда слабосекретным кодовым словом подменяют факторы аутентификации при РАЗблокировке, что вообще полнейшая дичь.
Заодно разрушаем оригинальную систему быстрой блокировки, побуждая людей придумывать сложные уникальные кодовые слова, которые в экстренной ситуации сразу и не вспомнишь.
Да, согласен с вами, такое ощущение, что банки специально создали подобную небезопасную систему безопасности в угоду совершенно другим факторам, а не безопасности.
Реально, кодовое слово в его текущем виде подходит только для быстрой блокировки.
Но точно не как главный дистанционный авторизатор.
Самый ужас, что некоторые банки вообще по паспортным данным почти все дистанционно делают и меняют. И наотрез отказываются отключать данную возможность.
Есть одно НО, у Тинькофф нет отделений, и у многих других банков не в каждом городе есть отделение
И не надо! Пусть придёт человек (назовите его представителем), тут важно усложнить (и увеличить риск) задачу мошенникам, которые сейчас сидят на попе в Пятигорске, названивают по всей стране и, найдя очередную дыру в очередном банке, вытаскивают деньги клиентов.
Куда придет представитель?
В обоюдоудобное для нас обоих место.
И вы наверное хотите чтобы он бесплатно приезжал, да?
Ну, учитывая обстоятельства (блокировка с целью обезопасить мои деньги), то можно рассмотреть и платный вариант, не каждый день я меняю (или теряю) симку и телефон.
Комментарий недоступен
Поэтому я выше подробно указал все условия использования кодового слова.
В том числе, что кодовое слово устанавливается САМИМ и только САМИМ клиентом лично. Кроме клиента никто кодовое слов не знает. Банк только обеспечивает клиенту возможность его изменить при личном визите и хранит слово в зашифрованном виде.
Подобная система используется во некоторых надежных электронных кошельках - там часто есть вообще 4-факторка.
Сначала авторизация в ЛК по логину и паролю.
Далее, для КАЖДОЙ операции, а не как в дырявом Тинькове с QR кодами, обязательная дополнительная 3-факторная авторизация - кодовое слово, код на электронную почту, гугл аутентификатор.
Ну только обычное кодовое слово нам все равно нужно. Чтобы проснувшись пьяным, с ударенной головой, без телефона и бумажника, человек смог заблокировать карты/интернет-банки, вспомнив имя своего раздавленного дверью хомячка из детства.
С этим полностью согласен. Только его надо переименовать в "блок-слово")
Комментарий недоступен
Я имел в виду и далее уточнил, что смена лично в офисе лично самим клиентом без сообщения слова работникам банка.
Сделать это можно, например, активацией короткого периода смены слова. Например, 1 час после подтверждения личности в офисе. То есть человек приходит в офис, подтверждает личность и желание сменить кодовое слово, ему на час активируют возможность смены слова в ДБО. Через час возможность отключается.
Да, название нужно другое. В кошельках это обычно называется "платежный пароль" или "платежный код", если он чисто из цифр состоит. И без него нельзя провести ни один платеж.
Статью бегло проглядел - вроде интересно и по делу, спасибо) Добавил к себе, прочитаю внимательно на досуге.
Меня тоже, честно говоря, эта тема давно и сильно волнует, потому что ситуация пока что просто ужасная.
Ну, например, сделать аналог пин-пада только с буквами, чтоб клиент сам вводил кодовое слово.
ну да, кроме клиента и "половины Чикаго" (любого сотрудника банка, кто по долгу службы общается с клиентом плюс те, кто мимо проходит в этот момент)
Зачем вы вырвали мои слова из контекста?
Я вообще-то написал не про то, как есть сейчас, а про то, как ДОЛЖНО БЫТЬ.
И далее дополнительно предложил, как именно можно осуществлять смену слова без рисков его подсматривания кем-либо в отделении:
https://vc.ru/319026?comment=3509442
Тема отдельного разговора, но кодовое слово по определению будет известно много кому (ну или делать его одноразовым или целую книгу слов писать). Я с вами не спорю, я уже не помню, зачем "вырвал слова из контекста", в целом с вашей позицией согласен (про банки, деньги, защиту от мошенников и др.)
Хорошо)
Кодовое слово можно сделать никому не известным, если оно устанавливается исключительно самим клиентом по защищенному каналу, передается и хранится в зашифрованном виде.
Например, некоторые менеджеры паролей так работают - если вы забываете свой мастер-пароль, то никто и ничто вам уже не поможет восстановить доступ к своему хранилищу паролей.
Также и здесь можно сделать. То есть, если вы забыли свое кодовое слово, то никто и ничто уже не должен мочь его восстановить. Только установить заново, опять же только лично вами и только по защищенному каналу.
Комментарий недоступен
Никакого удаленного изменения критичных данных, ровно как и операций без подтверждения надежной 2fa не должно быть в принципе (хотя бы в виде доп. опции). Еще раз, у кодового слова уровень защиты такой же, как у номера паспорта (то есть никакой). Я выше уже писал, это слово передается открытым текстом третьим лицам (к которым в том числе относятся и сотрудники банка). Никакая информация доступная кому-либо, кроме вас, не должна использоваться для идентификации в принципе.
Просто кодовое слово должно использоваться ТОЛЬКО для блокировки и ничего другого. Тогда нет проблем в передаче его открытым текстом
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
телефон люди меняют не каждый год, другие важные данные ещё реже
я карты менял раз 10 доки заказывал ездят только так, лишний раз не обломятся доехать, тем более действительно это не так часто и происходит, кто с пластиком можно как вариант в банкомате
Комментарий недоступен
личный визит с паспортом чем плох?
Комментарий недоступен
офисов нет, но сотрудники есть, вот к ним и визит
Комментарий недоступен
Правильно тут пишут - по кодовому только блок счетов. А восстановление с визитом. Пусть за деньги сделают.
а зачем дистанционно подтверждать личность?
Комментарий недоступен
Я про то, что не надо знание кодового слово уравнивать с подтверждением личности. Достаточно такого утверждения - мою карту может заблокировать любой, кто знает кодовое слово. Я против этого не возражаю и поэтому не сильно беспокоюсь про сохранность этого слова, кто его знает и т.д.. А вот если любой, кто знает кодовое слово может забрать мои деньги, то я на начинаю волноваться.
Да, приравнивать к подтверждению личности сообщение кодового слова ни в коем случае не стоит. Тут собственно вроде все против этого изначально были с самого начала обсуждения.
А вы уверены, что эти "звонки" нужны? А то мне на отдыхе на российскую симку звонить не нужно, например.
Менял устройство и перевыпускал сим карту.
Позвонил в Тинькофф.
Кодовое слово не помнил!
Позвонил с нового устройства и перевыпущенной симки.
Мне поменяли кодовое слово.
Я говорю:
- "постойте, а как так, любой же может позвонить и поменять кодовое слово?"
- парень на той стороне ответил "не волнуйтесь, мы знаем, что это вы"
Ну хз... знают и знают. Откуда я хз... по сотовой вышке? Там мошенники могут оттуда звонить... По голосу? Не точно имхо, да и звонил им вроде первый раз... Как они могли знать, что я это я?
Я в Альфе по телефону менял кодовое слово с перевыпущенной симки и даже другого оператора. Спросили ФИО, дату рождения и данные паспорта. Акуеть идентификация))
Комментарий недоступен
Это называется "упрощенная идентификация". Всё типа по закону
Большой брат следит за тобой!
Они давно с голосовыми технологиями работают, потому и знают. Ну и недавний намек, что больше не нужно сообщать о поездках в другие страны как бы намекает на получении информации о местоположении.
Они даже 2Fa не могут сделать.
А вообще по-хорошему еще бы сделать фичу заводить два аккаунта, сделать акк с картой просто, для ежедневного использования, и отдельный акк с накоплениями.
Ага и уведут деньги с обоих.