Длительное рассмотрение ситуации по поводу отмененного QR-кода в приложении Тинькофф

Ранее я делала публикацию, которую сняли из-за некорректного названия. К сожалению, увидела я это более чем через сутки и значит, не смогла отредактировать запись с 5 000+ просмотрами и комментариями под названием "В Москве отменять QR-коды умеют, а в Тинькофф нет. И мошенники прекрасно об этом знают". Ладно, в этот раз обойдемся без кликбейтных заголовков и подробностей, главное – достичь уже результата и завершения этой истории.

Суть вопроса простая: Я попалась мошенникам, которые знали, что отмена QR-кодов в банке Тинькофф не работает моментально. И даже пяти минут достаточно, чтобы снять деньги по уже отмененному QR-коду. У банка также есть скриншоты по формированию кода и времени, когда его использовали. А я точно знаю, что в приложении код был уже отменен.

Всего сумма, которую сняли мошенники равна 172 000₽, мое обращение под номером №5-8241681012622, и ответ у нас действительно затянулся. Каждый раз, когда подходит время ответа, сотрудник банка мне говорит, что ответ будет по старой формуле N+3, то есть через три дня от сегодняшней даты. Такое происходит уже раз пятый. Надеюсь, что хотя бы здесь, в приемной, мне объяснят ситуацию.

Теперь сотрудники банка говорят, что ответ будет 7 января. Что-то подсказывает мне, что этой датой ответ не закончится, все отдыхают.

Также я спрашивала по поводу капающих процентов за этот срок. При том, что у меня заморожены все активы в банке сейчас и у нас идет разбирательство, мне ответили, что проценты капать продолжают и от этого я никак не спасусь. А банк тем временем продолжает двигать рассмотрение вопроса.

Пока единственный ответы от банка, которые я получила, звучат так: "вам ответят в рамках отзыва на vc" и "У нас не работают мошенники". К сожалению, и этого заскринить я не могу, публикация ведь снята :(

Мои вопросы остаются прежними:

Ну и конечно, четвертый вопрос, который у меня остается: Что будет с теми 172 000₽, которые банк по ошибке выдал через терминал по отмененному QR-коду?

#жалобатинькофф подключайтесь, я очень жду вашего ответа.

0
193 комментария
Написать комментарий...
Тинькофф

Здравствуйте.

Вы позвонили нам 30 ноября и попросили соединить с Ковалюк Владимиром, сообщив, что он ваш менеджер, и занимается вопросом взлома. Мы ответили, что переключить не сможем и предложили соединить вас с поддержкой. На этом моменте вы просто прекратили диалог. Вы не просили подтвердить личность Владимира и ничего не спрашивали.

Вероятно, мошенники воспользовались подменой номера. Откуда у них была ваша контактная информация – мы не знаем. С нашей стороны утечка исключена.

1 декабря в чате вы попросили нас оспорить операции, мы заблокировали карту и предложили все вопросы решить по телефону. Перезвонили, перевыпустили карту, передали заявку на оспаривание операций и рекомендовали обратиться в полицию.

21 декабря мы приняли окончательное решение по ситуации. Оспорить операцию в рамках правил МПС мы не могли, операции выполнили с помощью QR-кода, который можно сделать только в приложении клиента после авторизации.

23 декабря вы обратились и просили восстановить рассмотрение, сообщив, что отменяли QR-код до снятия наличных. Теперь, зная новые подробности, мы возобновили рассмотрение. Если отменить QR-код в приложении, мы отменяем его моментально и полностью, после этого уже нельзя воспользоваться кодом.

Мы проверяем вашу ситуацию и обязательно сообщим о результатах. Проценты мы компенсируем.

Ответить
Развернуть ветку
Миша Магадан
операции выполнили с помощью QR-кода, который можно сделать только в приложении клиента после авторизации.

как мне отменить эту .... в моём приложении? я никогда не собираюсь этим ... пользоваться, зачем мне ЭТА ДЫРА в приложении?

Ответить
Развернуть ветку
Тинькофф

Здравствуйте. Чтобы сгенерировать QR-код нужна идентификации в мобильном приложении, поэтому тут мы не можем подтвердить, что это "дыра". Эту функцию не получится индивидуально скрыть.

Ответить
Развернуть ветку
Миша Магадан
Чтобы сгенерировать QR-код нужна идентификации в мобильном приложении

что нужно, чтобы сгенерировать код, понятно, я про другое - что нужно сделать, чтобы сгенерировать такой код было невозможно в принципе?

мы не можем подтвердить, что это "дыра".

ну от этого "дыра" не перестаёт быть ДЫРОЙ. К примеру, выдача моих денег кому угодно по нотариальной доверенности - дыра, но вы, вероятно, тоже не можете подтвердить, что это дыра?

Ответить
Развернуть ветку
Олег Антонов

что нужно сделать, чтобы сгенерировать такой код было невозможно в принципе?
Для этого не нужно в приложении заходить на вкладку Платежи, пролистывать ее до самого низа и в принципе не нажимать на кнопку Снятие наличных по QR-коду, в открывшемся окне в принципе не вводить сумму снятия наличных и потом в принципе не нажимать на кнопку Получить QR-код.
В принципе этого достаточно, чтобы было в принципе невозможно сгенерировать QR-код в вашем приложении?

Ответить
Развернуть ветку
Миша Магадан

Смешная шутка. Да, кривовато написал. Надо так:"что надо сделать, чтобы в приложении было невозможно сгенерировать код, по которому кто-то может забрать мои деньги из банкомата без карты?" и бонусом - Кто придумал воткнуть такую возможность в приложение? это уже к @Тинькофф

Ответить
Развернуть ветку
Олег Антонов

А что смешного? Ваше требование аналогично требованию к производителю телефона сделать так, чтобы вы в принципе не могли продиктовать по телефону полные данные банковской карты неизвестному человеку. И бонусом можете провопить - кто вообще придумал добавить в телефон возможность диктовать данные карты?

Ответить
Развернуть ветку
Миша Магадан

Вы в верном направлении мыслите - никто не должен иметь возможность забрать мои деньги без моего согласия зная ВСЕ ВОЗМОЖНЫЕ реквизиты банковского счёта, карты и т.п.
Так что диктуй, не диктуй - ничего не меняется.

Ответить
Развернуть ветку
Олег Антонов

Не вопрос. Не выпускайте карты, не подключайте ДБО. Тогда у вас вообще не будет возможности раскидываться данными карты, QR-кодами и паролями приложений, вопреки требованиям подписанного вами договора, а потом требовать от банка мистическим образом выяснять ваше согласие, хотя предоставление тех самых данных и есть согласие.
Только сберкнижки и только обслуживание по паспорту в отделении банка. Вот тогда можете номера счетов хоть на заборе около дома писать.

Ответить
Развернуть ветку
Миша Магадан

Вот именно! Клиенту надо дать выбор - хочешь удобств и готов рискнуть - пожалуйста! Хочешь тупо платить картой в магазине - вот и тебе услуга! Хочешь выпускать код, чтобы твои деньги сняли в Магадане - выпускай, боишься, что рукожопы из банка криво написали приложение и код может выпустить кто-то посторонний - убираем это вообще.

Ответить
Развернуть ветку
капитал прожиточного минимума
Хочешь тупо платить картой в магазине - вот и тебе услуга!

Всё просто — удаляешь приложение с телефона и пользуйся только картой сколько угодно.

боишься, что рукожопы из банка криво написали приложение

В таком случае мобильное приложение — далеко не самое страшное. Можно накосячить в системе авторизации, расчетах баланса, процессинге — тогда от вас и приложения вообще ничего не будет зависеть. И речь не про Тинькофф, а про любой существующий банк. Любая технология предполагает некоторый уровень доверия к инженерам.

Не понимаю, как вам поможет возможность отключения фичи — если это легко, то и мошенники научат включать, если сложно — клиент, который отключит и так на мошенников не нарвется. Да и вообще по такой логике можно абсолютно любую фичу делать отключаемой — мало ли к чему ещё есть паранойя.

Имхо, если уязвимость целиком на стороне пользователя — надо решать её там же. Ни одна система защиты не поможет, когда пользователь сам совершает действия, ещё и строго следуя инструкциям.

Ответить
Развернуть ветку
Миша Магадан

в случае с кодом для снятия наличных - эта фича вообще не нужна никому, кроме мошенников и одного товарища, который тут приводил пример практического использования, я позабыл, а сам опять не могу придумать ни одного примера.

Ответить
Развернуть ветку
оникс м

У меня лимит на бесплатные переводы закончился, маме срочно нужны были деньги, сумма довольно большая, в итоге по qr коду от меня она получила их моментально, находясь в другом городе. Без каких-либо комиссий и задержек по времени.

Ответить
Развернуть ветку
Миша Магадан

таких примеров я могу нафантазировать миллион (как и те люди, которые вводили эту фичу в ТКС), но, при всём уважении, рисковать деньгами миллионов ради вашей мамы (возможно даже и не выдуманной) нерационально и, тут уж я точно уверен, ТКС вводила эту возможность уж точно не ради таких любящих детей. А для чего вводили, не говорят. Да, @Тинькофф ? это тайна?

Ответить
Развернуть ветку
оникс м

При всем уважении, если мошенники получат доступ к вашему приложению, то найдут способ и без qr вас за пару секунд раздеть. К сожалению.

Ответить
Развернуть ветку
Миша Магадан

Тут вот какая разница. Если мошенники наши доступ к моему приложению и перевели деньги, то остануться хоть какие-то следы (номер телефона, номер счета) того, куда эти деньги ушли и есть шанс, что можно найти их (ну при условии, что будут искать, конечно), а в случае с кодом не остается никаких следов, кроме видео из банкомата Пятигорска, как кто-то в тёмных очках, чёрной маске, чёрной шапке, в чёрной куртке и чёрных штанах снимает деньги. Чувствуете разницу? И банку мороки меньше, так ему надо с милицией общаться, рассказывать, куда деньги пошли, много ли ещё таких переводов было, куда смотрит СБ и так далее. А тут код и взятки гладки.

Ответить
Развернуть ветку
оникс м

Мне нравится ваш оптимизм, но в РФ не ищут ребят из "службы безопасности", причём даже украденная сумма роли не играет. У органов один ответ — найти невозможно: "вы сами перевели на их счёт/ счёт давно пустой/не существует /в другой стране" и т д. Тут хотя бы по камерам человека отследить можно. А киберпреступления у нас — рай для преступников, не умеют даже простые дела раскрывать, где следы на поверхности. Увы опыт был, помогала родственниками, не без труда вычислила дом, подъезд мошенника, а полиция даже проверять не стала, на заявление забила🤷‍♀️

Ответить
Развернуть ветку
190 комментариев
Раскрывать всегда