Как мошенники сняли деньги и почему банк Тинькофф не отреагировал?
02.02.2022 года в 17-35 поступил звонок с номера 900 (согласно детализации звонили +79777578648 ) пытались предложить кредит, я отказалась и положила трубку.
В 18-41 началась СМС- атака бомбером и посыпались звонки с разных номеров.
В 19-44 начались списания с карты Банка Тинькофф при этом СМС оповещения не приходили. Заметила происходящее по пуш уведомлению в 19-46. При попытки зайти в приложение оно зависло на входе. Карта была рядом, поэтому уже в 19:47 я позвонила на горячую линию, чтобы заблокировать карту.
Как оказалось с моей карты была совершена покупка в магазине Лента в город Ульяновск, и 3 операции по снятию наличных денежных средств в банкомате Тинькофф, на общую сумму 71000. А я при этом нахожусь в Калининграде!
У меня есть два вопроса.
1.Как такое могло произойти? Карта всегда находилась дома и пользовалась я ей только с помощью гугл пей. В банкомат вставляла 5-6 раз для пополнения, в остальных случаях пополняла с карты сбер. Данные карты я никогда никому не сообщала. Несколько раз мне переводили на нее деньги только по номеру телефона. Покупки в интернете делала не часто и только на проверенных сайтах типа Озон и Валберис. По посторонним ссылкам не переходила. Вирусов нет ни на компьютере, ни на телефоне. Посторонних устройств подключенных или подключавшихся ранее по гугл истории нет. Т.е. мной были соблюдены все меры безопасности!
В своем комментарии Банк Тинькофф предположил что мошенники использовали дубликат сим карты, однако я позвонила своему оператору и мне сказали что последний перевыпуск был в 2017 году.
2. Почему банк не приостановил операции самостоятельно? Руководствуясь п.3 Приказа Банка России от 27 сентября 2018 года № ОД-2525 на лицо признаки осуществления перевода денежных средств без согласия клиента, а именно несоответствие характера и места осуществления операции, а также частота осуществления операций.
За весь период использования карты я ни разу не снимала с нее деньги в банкомате, тем более в другом регионе. Утром того же дня мной был оплачен проезд в Калининграде. А вечером операции в другом месте.
Приветствуем. Хотели бы разобраться в ситуации, подскажите, пожалуйста, ФИО с датой рождения в ЛС.
Уточните способ которым снимались деньги в банкомате, были ли в тот период входы в приложение с других устройств и сняты ли камеры наблюдения? Какие вообще на данный момент действия совершены банком в рамках рассмотрения моего заявления об оспаривании операций
Возвращены ли деньги на счет клиента, пока вы разбираетесь?
Комментарий удален модератором
Да, где-то была статья, на рбк вроде, что был какой-то законопроект, чтобы побольше ответственности банки несли в случае мошеннического списания денек, так там они, разумеется, возмутились, ибо, конечно, хочется все тупо скинуть на клиента - он все равно практически бесправен.
Нет
Конечно. Если клиент их положит.
Уточните пожалуйста в своём ответе и вот этот момент.
То что доступ к ДБО можно сбросить полностью по склонированной симке это пугает.
Если действительно так, то у вас решето а не безопасность.
Можно ли запретить выпуск новых виртуальных карт и токенов (или как там это называется в G-PAY )?
У меня вот снятие наличных выключено или сильно ограничено по всем картам. Этого достаточно чтобы при использовании "дубликата симкарты" ничего не получилось
Заранее спасибо
Симку нельзя склонировать, можно только перевыпустить
Комментарий недоступен
Это только на Андроиде, который категорически не рекомендую для любых финансовых операций. Вообще, формула безопасности достаточно проста: Сбер - денег серьезных на карточном счете не держать - айфон. Для верности еще сим карта на маму или жену. И незнакомые номера не брать. Всякие гугл пэи не подключать.
Выше кинул ссылку. И там был не андроид
Кнопочный. Не надо связывать свои деньги ни с какими сервисами, это всё потенциальная дыра в безопасности. Минусуют массово, а потом пачками статьи тут пишут на одну и ту же тему почти каждый день. Я, думаете, очень люблю айфоны и сбер? Я люблю свои деньги, в отличии от владельцев андроидов и клиентов левых банков.
Я вас не минусовал.
Напомню, ветка началась из-за моей просьбы банку прокомментировать 1) использование смс как единственного фактора 2) информацию о "клонировании" сим-карты.
Я выступаю крайне против использования смс как единственного фактора(по любым причинам, хоть приведённых вами, хоть мной ниже, хоть по ссылке, хоть по предыдущей ссылке)
Телефоны у меня пока (!) ни разу не ломали(хотя "попыток" было пару десятков, в основном смс с вирусняком по логике СИ), а вот перевыпуск симки из-за купленного сотрудника опсоса — был два раза за три месяца (утечки списков "типа премиальных" клиентов в которые я почему-то попал — вообще не редкость).
Вот тут альфа(по моей версии) вообще расписалась что не проверяет замену симок:
https://vc.ru/claim/355007-alfa-bank-vydaet-kredity-onlayn-moshennikam-bez-dolzhnoy-identifikacii-klientov-i-otkazyvaetsya-annulirovat-dogovor?comment=3835378
Сбер :).
Для обувания вас в Сбере достаточно получить ваш один смс и знать один номер вашей карты. После этого за вас залогиняться в интернет-банк и все заберут.
Мир заполнен дебилами, которые полагают, что получить за них смс никто никогда не сможет :). Некоторые верят, что им поможет фейсайди, другие свято верят в отпечатки пальцев. Особо буйные верят в айфоны.
В их число входят и начальницы многих отделений сбера....
Пока среднему гражданину пофиг, пока он во все это согласен верить, мы будем иметь то, что имеем: полную профанацию любой безопасности. Телефон и номер паспорта, как ключ к всем деньгам и кредитам итд итп. Что с этим делать не очень понятно...
Сразу книги, бумагу и ручки выкинуть. Наскальная живопись наше фсё!
В вопросе надо разбираться, но чтобы в ленте расплатиться в другом городе я один способ знаю и для него нужен доступ в приложение, подключение google pay и тут уже нужен доступ к смс на номере. Интересно послушать какие еще возможны варианты.
Вот эти вот фразы по ссылкам не ходил, ничего не качал, мамой клянуть не убедительны. Если бы это так легко ломалось, суммы которые воровали были крупнее.
Мне вот как-то мошенники звонили и пытались уговорить установить приложение из стора для удаленного доступа. А еще все люди врут. Интересно конечно узнать чем закончится и как все на самом деле начиналось
Комментарий недоступен
Технически вроде теоретически можно склонить. Но что то мне подсказывает что такое мероприятие будет стоит далеко не 70к руб
https://journal.tinkoff.ru/kibermoshennichestvo-sud/
Ознакомьтесь. Не айфон и не андроид, а вообще кнопочный телефон. И не просто текст пострадавшего, а имеется решение суда в пользу пользователя. С подтверждением что sms перехватывается довольно несложно
"Злоумышленники смогли перехватывать сигналы кнопочных телефонов, не поддерживающих современные стандарты безопасности."
тем не менее, внятных мер противодействия описано не было.
От автора есть подтверждение на прямой вопрос:
> Получается, банкам у которых нет функционала "запретить удалённое восстановление доступа к ДБО" надо немедленно очень серьёзно задуматься над тем, чтобы считать смс единственным достоверным фактором.как бы грустно не звучало, но все именно так:(
Например не пользоваться симками тарифа "О Лайт" 2000 года давности. Так внятно написано?
Где это написано в материалах хоть кого-то разобравшегося в вопросе?
Из контекста комментариев к оригинальным материалам, у меня сложилось мнение что проблема не в аппарате пользователя, а в базовых станциях оператора (выборе слабого "шифрования").
Вроде как задето только 2G, но это не точно.
У меня 2G отключен, но это возможно только на относительно новых телефонах и для массового пользователя не подходит.
Не проверял можно отключить 2g на айфонах(но уверен что можно)
Это написано в ответе из отдела К в третьей части этой пьесы.
Прежде чем кидаться ссылками, рекомендую ознакомиться о всем материалом изначально.
Старый бабушкофон + старая симка = отсутствие безопасности.
Хотите пользовать бабушкофоны, так хотя бы найдите современный и под него симку выпустите уже.
https://img-cdn.tinkoffjournal.ru/i/Lpg6H7WfZRpa2MI0cpCjHz6FEB8w-3vB8Bf6a5T6e08/w:1400/aHR0cHM6Ly9pbWct/Y2RuLnRpbmtvZmZq/b3VybmFsLnJ1Ly0v/a2liZXJtb3NoaS1w/cmVzdHVwbmlraS0z/My5zbG9nbHIucG5n
Еще не разобрались?