Ранее я делала публикацию, которую сняли из-за некорректного названия. К сожалению, увидела я это более чем через сутки и значит, не смогла отредактировать запись с 5 000+ просмотрами и комментариями под названием "В Москве отменять QR-коды умеют, а в Тинькофф нет. И мошенники прекрасно об этом знают". Ладно, в этот раз обойдемся без кликбейтных заголовков и подробностей, главное – достичь уже результата и завершения этой истории.
Суть вопроса простая: Я попалась мошенникам, которые знали, что отмена QR-кодов в банке Тинькофф не работает моментально. И даже пяти минут достаточно, чтобы снять деньги по уже отмененному QR-коду. У банка также есть скриншоты по формированию кода и времени, когда его использовали. А я точно знаю, что в приложении код был уже отменен.
Всего сумма, которую сняли мошенники равна 172 000₽, мое обращение под номером №5-8241681012622, и ответ у нас действительно затянулся. Каждый раз, когда подходит время ответа, сотрудник банка мне говорит, что ответ будет по старой формуле N+3, то есть через три дня от сегодняшней даты. Такое происходит уже раз пятый. Надеюсь, что хотя бы здесь, в приемной, мне объяснят ситуацию.
Теперь сотрудники банка говорят, что ответ будет 7 января. Что-то подсказывает мне, что этой датой ответ не закончится, все отдыхают.
Также я спрашивала по поводу капающих процентов за этот срок. При том, что у меня заморожены все активы в банке сейчас и у нас идет разбирательство, мне ответили, что проценты капать продолжают и от этого я никак не спасусь. А банк тем временем продолжает двигать рассмотрение вопроса.
Пока единственный ответы от банка, которые я получила, звучат так: "вам ответят в рамках отзыва на vc" и "У нас не работают мошенники". К сожалению, и этого заскринить я не могу, публикация ведь снята :(
Мои вопросы остаются прежними:
Ну и конечно, четвертый вопрос, который у меня остается: Что будет с теми 172 000₽, которые банк по ошибке выдал через терминал по отмененному QR-коду?
#жалобатинькофф подключайтесь, я очень жду вашего ответа.
Здравствуйте.
Вы позвонили нам 30 ноября и попросили соединить с Ковалюк Владимиром, сообщив, что он ваш менеджер, и занимается вопросом взлома. Мы ответили, что переключить не сможем и предложили соединить вас с поддержкой. На этом моменте вы просто прекратили диалог. Вы не просили подтвердить личность Владимира и ничего не спрашивали.
Вероятно, мошенники воспользовались подменой номера. Откуда у них была ваша контактная информация – мы не знаем. С нашей стороны утечка исключена.
1 декабря в чате вы попросили нас оспорить операции, мы заблокировали карту и предложили все вопросы решить по телефону. Перезвонили, перевыпустили карту, передали заявку на оспаривание операций и рекомендовали обратиться в полицию.
21 декабря мы приняли окончательное решение по ситуации. Оспорить операцию в рамках правил МПС мы не могли, операции выполнили с помощью QR-кода, который можно сделать только в приложении клиента после авторизации.
23 декабря вы обратились и просили восстановить рассмотрение, сообщив, что отменяли QR-код до снятия наличных. Теперь, зная новые подробности, мы возобновили рассмотрение. Если отменить QR-код в приложении, мы отменяем его моментально и полностью, после этого уже нельзя воспользоваться кодом.
Мы проверяем вашу ситуацию и обязательно сообщим о результатах. Проценты мы компенсируем.
как мне отменить эту .... в моём приложении? я никогда не собираюсь этим ... пользоваться, зачем мне ЭТА ДЫРА в приложении?
Здравствуйте. Чтобы сгенерировать QR-код нужна идентификации в мобильном приложении, поэтому тут мы не можем подтвердить, что это "дыра". Эту функцию не получится индивидуально скрыть.
Комментарий удален модератором
Как мы написали в основном ответе, мы еще вернемся по этому моменту, когда будет дополнительная информация об этой ситуации.
Комментарий удален модератором
Нисколько, достаточно прочитать, что пишет автор поста
Сейчас не работает. я проверяла, но позже значительно. Пара недель уже прошла.А учитывая, что прошлую статью удалил за введение в заблуждение, то думайте сами
Комментарий удален модератором
Начнем с того, что автор врет, когда звонила в банк где ей якобы подтвердили, что у них работает некий Ковалюк Владимир
Мне сказали, что могут перевести на его отдел. То есть он где-то существует и вы переведете на 20 человек, которые там есть.Даже если не знать деталей - это чушь, первая линии поддержки(девочки сидячие на аутсорсе по всей России) знает всех поименно работников банка? Это и подтвердил банк
Мы ответили, что переключить не сможем и предложили соединить вас с поддержкой. На этом моменте вы просто прекратили диалог. Вы не просили подтвердить личность Владимира и ничего не спрашивали.А историю про отмененный QR вообще никто подтвердить не смог, когда комментаторы собрались проверить ее слова автор вдруг пишет - "а уже не работает"
Комментарий удален модератором
Только то, что ей и сказали - дождаться и поговорить с поддержкой выше. Существование сотрудника Ковалюк Владимир ей никто не подтверждал.
Ах да, в своем первом опусе автор писал, что мошенник звонил с тел банка, а по скриншотам, которые она же выложила это было не так. Еще одно вранье... конечно обидно потерять средства, только вот банк тут не причем. За свои поступки нужно отвечать самостоятельно, особенно учитывая, что потери банк переложит на своих клиентов, почему другие должны оплачивать автору ее же ошибки?
А вы не думаете, что был не один звонок? да, в конечном счете все свелось на левый номер. Но заход был через подставной номер и голосового Олега с кучей консультантов.
про CRM и любой внутренний портал для сотрудников тоже слабо верится? легко же пробить изнутри, кто работает в большой компании, какой у него отдел и кто прямой начальник.
я спокойно признаю свои ошибки. не волнуйтесь, потерянное всегда можно заработать. но ошибка здесь не только моя. и если произошло то, чего не могло произойти, то почему бы мне не искать ответов здесь дальше?
Комментарий удален модератором
Ошибка в том, что в принципе отправила qr-код кому-то. Банки всегда пишут и предупреждают, что передавать коды не стоит.
это я как раз, с сожалением признаю. для меня это был в целом функционал, с которым никогда не сталкивалась. а мошенник мог бы стать отличным продавцом, если бы такой верней не занимался. отлично линию вел.
Комментарий удален модератором
Где среди этого перечня Вы видите сотрудников банка или людей, представляющихся «сотрудниками банка»? Банки предупреждают, что сотрудники и операторы не запрашивают коды, qr-коды. Не путайте белое с чёрным.
Комментарий удален модератором
Ну так третьи лица и сняли, автор же отправила им код сама. Не банк же передал третьим лицам его. Автор даже сама выше призналась «это я как раз, с сожалением признаю».
Я не совсем понимаю, что Вы мне пытаетесь объяснить или доказать.
Комментарий удален модератором
Этот вопрос лучше задать банку, я Вам с этим не помогу. Тем более где гарантия, что код был деактивирован на момент отправки его авторам третьим лицам? Вы это можете гарантировать?
Если бы я не знал, что такое qr-код, то не комментировал бы пост.
Кстати, а зачем тогда я снова сделала публикацию? Если удалила сама за введение в заблуждение
что нужно, чтобы сгенерировать код, понятно, я про другое - что нужно сделать, чтобы сгенерировать такой код было невозможно в принципе?
мы не можем подтвердить, что это "дыра".ну от этого "дыра" не перестаёт быть ДЫРОЙ. К примеру, выдача моих денег кому угодно по нотариальной доверенности - дыра, но вы, вероятно, тоже не можете подтвердить, что это дыра?
что нужно сделать, чтобы сгенерировать такой код было невозможно в принципе?
Для этого не нужно в приложении заходить на вкладку Платежи, пролистывать ее до самого низа и в принципе не нажимать на кнопку Снятие наличных по QR-коду, в открывшемся окне в принципе не вводить сумму снятия наличных и потом в принципе не нажимать на кнопку Получить QR-код.
В принципе этого достаточно, чтобы было в принципе невозможно сгенерировать QR-код в вашем приложении?
Смешная шутка. Да, кривовато написал. Надо так:"что надо сделать, чтобы в приложении было невозможно сгенерировать код, по которому кто-то может забрать мои деньги из банкомата без карты?" и бонусом - Кто придумал воткнуть такую возможность в приложение? это уже к @Тинькофф
А что смешного? Ваше требование аналогично требованию к производителю телефона сделать так, чтобы вы в принципе не могли продиктовать по телефону полные данные банковской карты неизвестному человеку. И бонусом можете провопить - кто вообще придумал добавить в телефон возможность диктовать данные карты?
Вы в верном направлении мыслите - никто не должен иметь возможность забрать мои деньги без моего согласия зная ВСЕ ВОЗМОЖНЫЕ реквизиты банковского счёта, карты и т.п.
Так что диктуй, не диктуй - ничего не меняется.
Не вопрос. Не выпускайте карты, не подключайте ДБО. Тогда у вас вообще не будет возможности раскидываться данными карты, QR-кодами и паролями приложений, вопреки требованиям подписанного вами договора, а потом требовать от банка мистическим образом выяснять ваше согласие, хотя предоставление тех самых данных и есть согласие.
Только сберкнижки и только обслуживание по паспорту в отделении банка. Вот тогда можете номера счетов хоть на заборе около дома писать.
Вот именно! Клиенту надо дать выбор - хочешь удобств и готов рискнуть - пожалуйста! Хочешь тупо платить картой в магазине - вот и тебе услуга! Хочешь выпускать код, чтобы твои деньги сняли в Магадане - выпускай, боишься, что рукожопы из банка криво написали приложение и код может выпустить кто-то посторонний - убираем это вообще.
Всё просто — удаляешь приложение с телефона и пользуйся только картой сколько угодно.
боишься, что рукожопы из банка криво написали приложениеВ таком случае мобильное приложение — далеко не самое страшное. Можно накосячить в системе авторизации, расчетах баланса, процессинге — тогда от вас и приложения вообще ничего не будет зависеть. И речь не про Тинькофф, а про любой существующий банк. Любая технология предполагает некоторый уровень доверия к инженерам.
Не понимаю, как вам поможет возможность отключения фичи — если это легко, то и мошенники научат включать, если сложно — клиент, который отключит и так на мошенников не нарвется. Да и вообще по такой логике можно абсолютно любую фичу делать отключаемой — мало ли к чему ещё есть паранойя.
Имхо, если уязвимость целиком на стороне пользователя — надо решать её там же. Ни одна система защиты не поможет, когда пользователь сам совершает действия, ещё и строго следуя инструкциям.
в случае с кодом для снятия наличных - эта фича вообще не нужна никому, кроме мошенников и одного товарища, который тут приводил пример практического использования, я позабыл, а сам опять не могу придумать ни одного примера.
У меня лимит на бесплатные переводы закончился, маме срочно нужны были деньги, сумма довольно большая, в итоге по qr коду от меня она получила их моментально, находясь в другом городе. Без каких-либо комиссий и задержек по времени.
таких примеров я могу нафантазировать миллион (как и те люди, которые вводили эту фичу в ТКС), но, при всём уважении, рисковать деньгами миллионов ради вашей мамы (возможно даже и не выдуманной) нерационально и, тут уж я точно уверен, ТКС вводила эту возможность уж точно не ради таких любящих детей. А для чего вводили, не говорят. Да, @Тинькофф ? это тайна?
При всем уважении, если мошенники получат доступ к вашему приложению, то найдут способ и без qr вас за пару секунд раздеть. К сожалению.
Тут вот какая разница. Если мошенники наши доступ к моему приложению и перевели деньги, то остануться хоть какие-то следы (номер телефона, номер счета) того, куда эти деньги ушли и есть шанс, что можно найти их (ну при условии, что будут искать, конечно), а в случае с кодом не остается никаких следов, кроме видео из банкомата Пятигорска, как кто-то в тёмных очках, чёрной маске, чёрной шапке, в чёрной куртке и чёрных штанах снимает деньги. Чувствуете разницу? И банку мороки меньше, так ему надо с милицией общаться, рассказывать, куда деньги пошли, много ли ещё таких переводов было, куда смотрит СБ и так далее. А тут код и взятки гладки.
Мне нравится ваш оптимизм, но в РФ не ищут ребят из "службы безопасности", причём даже украденная сумма роли не играет. У органов один ответ — найти невозможно: "вы сами перевели на их счёт/ счёт давно пустой/не существует /в другой стране" и т д. Тут хотя бы по камерам человека отследить можно. А киберпреступления у нас — рай для преступников, не умеют даже простые дела раскрывать, где следы на поверхности. Увы опыт был, помогала родственниками, не без труда вычислила дом, подъезд мошенника, а полиция даже проверять не стала, на заявление забила🤷♀️